Wapen jezelf en je medewerkers tegen CEO-fraude

De lockdown en het langdurige thuiswerken waren een geweldige opportuniteit voor cybercriminelen. Doordat we meer online gingen shoppen, schoten fake webshops als paddenstoelen uit de grond. En vorige zomer al waarschuwde internationaal accountants- en belastingadviseurbedrijf PricewaterhouseCoopers voor een sterke toename van CEO-fraude. Cybercriminelen zagen een gemakkelijk doelwit in de vele bedrijven waar collega’s elkaar niet meer in levende lijve zagen.

Valse e-mails waarin een overheidsinstelling of bank ons vraagt om onze gegevens aan te passen kennen we allemaal. Waar die mails tot voor een paar jaar vol spellingsfouten stonden en lachwekkend amateuristisch oogden, worden de criminelen steeds beter in hun vak. Phishingmails zijn technisch en vormelijk nauwelijks nog te onderscheiden van onvervalste mails. Bovendien worden nu ook sms en whatsapp veelvuldig gebruikt om mensen te misleiden.

Social Engineering

Bij CEO-fraude maken cybercriminelen misbruik van het vertrouwen dat medewerkers in hun leidinggevenden stellen. Daarom wordt deze vorm cybercrime social engineering genoemd. Het komt er telkens op neer dat criminelen op een heel overtuigende manier proberen om medewerkers te doen geloven dat een kaderlid hen vraagt een betaling te doen. En ze hebben hun huiswerk gemaakt: ze kennen het geviseerde bedrijf heel goed, weten wie welke rol speelt op welke afdeling en gaan vaak zelfs de communicatiestijl van leidinggevenden overnemen in hun malafide mails.

De mail of het whatsappbericht dat zogezegd van een kaderlid komt, lijkt dus authentiek. Typisch viseren cybercriminelen grote bedrijven, waar medewerkers geen rechtstreeks contact hebben met het topkader. Vaak vraag een C-level, laten we hem Jos noemen, aan een medewerker van de boekhouding, Thomas, om een dringende betaling uit te voeren. Jos zit in het buitenland voor een belangrijke onderhandeling en hij kan zijn assistent, aan wie hij dat normaal zou vragen, niet bereiken.

Het is heel dringend want het verdere verloop van de gevoelige onderhandelingen hangen af van de snelle betaling. Daarom vraagt Jos het nu uitzonderlijk aan Thomas. Het is uiterst belangrijk dat Thomas heel discreet is en omdat het zo dringend is, moet ze voor een keer afwijken van de normale procedures.

‘Wij zijn niet zo naïef. Ons overkomt het niet’, denkt u. Think again

Ons overkomt het niet

‘Wij zijn niet zo naïef. Ons overkomt het niet’, denkt u. Think again. Recent werd zelfs Bol.com nog slachtoffer werd van heel slimme BEC. Bol.com kreeg een mail die afkomstig leek van Brabantia, waarin de toeleveranciers meldde dat het een nieuw rekeningnummer had. De afzender verzocht Bol.com om facturen voortaan daar te voldoen. Alles leek heel correct en zo overtuigend dat het Bol.com maar liefst 750.000 euro kostte.

Cybercriminaliteit zal niet verdwijnen. Het zal enkel toenemen naarmate onze samenleving verder digitaliseert. Het is dus belangrijk dat je je hier als bedrijf goed tegen wapent. ‘Als management moet je ervoor zorgen dat betalingsprocessen duidelijk zijn en goed gevolgd worden. Zorg voor duidelijke procedures om betalingsoverdrachten of gevoelige informatieverzoeken te verifiëren, vooral wanneer die via e-mail komen’, adviseert het CERT (Federal Cyber Emergency Team) bij monde van woordvoerster Katrien Eggers. ‘Informeer medewerkers en zorg dat ze een goede training hebben zodat ze de oplichting snel herkennen en adequaat reageren.’

Een poging is ook een misdrijf

Medewerkers moeten er een goede gewoonte van maken om  nooit bijlages te openen of links aan te klikken in een e-mail die u niet volledig vertrouwen. ‘Het is bijvoorbeeld een goed idee om betalingen vanaf een bepaald bedrag door meerdere medewerkers laten ondertekenen. Beschrijf nooit aan onbekenden hoe betalingen in uw onderneming gebeuren en zorg ervoor dat interne procedures intern blijven’, aldus Eggers.

Wanneer er vermoedens van CEO-fraude zijn is het belangrijk dat je contact opneemt met de persoon van wie je zogezegd het bericht of de e-mail kreeg, zelfs al is het je CEO. Maar doe dat op een ander telefoonnummer of e-mailadres dan dat van waaruit je werd gecontacteerd. Stuur de mail door naar hem of haar, maar beantwoord hem niet.

Belangrijk wanneer het over CEO-fraude (of elke andere vorm van cybercriminaliteit gaat): elke poging tot fraude is een misdrijf. Zorg ervoor dat al je medewerkers dit weten. Zelfs als je niet in de val van de cybercriminelen bent getrapt, doe je er goed aan elke poging tot CEO-fraude te melden. Dat doe je best bij je lokale politiekantoor. Maak je medewerkers bewust van het fenomeen en zorg ervoor dat de procedures die ze moeten volgen om CEO-fraude (en andere vormen van cybercrime) te melden duidelijk en bekend zijn.