Inmiddels is 11 procent van alle externe fraudegevallen waar Nederlandse bedrijven slachtoffer van worden CEO-fraude. Dat blijkt uit een onderzoek van Allianz Trade. Daarmee is het nu een van de vijf meest voorkomende vormen van externe fraude (dus exclusief fraude door eigen medewerkers) in het Nederlandse bedrijfsleven. Daarnaast zijn ook overheidsinstanties steeds vaker doelwit. De Vereniging van Nederlandse Gemeenten (VNG) stuurde afgelopen week een bericht uit om gemeenten te waarschuwen, nadat de gemeente Meierijstad 37 duizend euro aan criminelen had overgemaakt. Dat geval stond niet op zichzelf: de VNG ontving in totaal 59 meldingen.
Figuur 1: % bedrijven dat te maken kreeg met externe fraude (Bron: Allianz Trade).
CEO-fraude
CEO-fraude is een vorm van cybercriminaliteit die de nodige voorbereiding vergt. Door de identiteit van een autoriteit binnen een organisatie (bijvoorbeeld de CEO of andere hooggeplaatste medewerker) te misbruiken en de nadruk te leggen op vertrouwelijkheid en spoed, proberen cybercriminelen betrokkenen onder druk te zetten om geld over te maken. Dat vereist vooronderzoek, bijvoorbeeld op sociale media, en vaak het spoofen van mailadressen of telefoonnummers. De potentiële winst is echter hoog: van alle claims die binnenkwamen bij verzekeraar Allianz was de helft hoger dan € 50.000.
Weeffouten in procedures
CEO-fraude maakt gebruik van weeffouten in procedures voor het doen van betalingen. De bekendste voorbeelden uit het verleden zijn cases in sectoren waar medewerkers gewend zijn zeer grote bedragen op basis van mondelinge of telefonische opdrachten over te maken. Vaak ook internationaal. Dat gebeurde bijvoorbeeld in de beruchte Pathé-zaak.
Veilige procedures inrichten
Wat je kunt doen om te voorkomen dat je bedrijf slachtoffer wordt, is een administratieve procedure inrichten die niet omzeild kan worden, bijvoorbeeld met behulp van inkooporders en het 4-ogen-principe. Door medewerkers hier strak aan te houden, wordt het cybercriminelen vrijwel onmogelijk gemaakt een individuele medewerker over te halen tot een spoedbetaling.
Veilige e-mailstandaarden gebruiken
In de communicatie over CEO-fraude worden de technische standaarden die er zijn vaak over het hoofd gezien. De VNG adviseert gemeentemedewerkers in haar waarschuwing op te letten of het mailadres van degene die opdracht geeft tot de betaling ook écht van de eigen gemeente is. Dat is natuurlijk een goed advies, maar als de organisatie in kwestie geen moderne en veilige mailstandaarden toepast, kunnen cybercriminelen mailadressen spoofen of typosquatten. Onlangs berichtte Forum Standaardisatie dat 4 op de 10 instanties deze standaarden nog niet toepassen en dat de overheid in het huidige tempo pas in 2030 aan de verplichte informatieveiligheidstandaarden voldoet. Op Internet.nl kun je controleren of de site en mail van een organisatie voldoet aan de moderne en veilige internetstandaarden.
Monitor je naam online
Vaak begint fraude ook met het registreren van een domeinnaam die op de jouwe lijkt of het gebruik van je logo op een site die niet van jou is. Dit staat bekend als typosquatting. Typosquatting is het registreren van web- of mailadressen die lijken op je merk om met gerichte aanvallen (persoons)gegevens of geld te ontvreemden. Tegen het gevaar van typosquatting zijn diensten als ons eigen SIDN Merkbewaking beschikbaar.
