Let op (1/5): Ga niet in op nepadvertenties met bekende Nederlanders Sinds 08:47 | 20 mrt 2023
Let op (2/5): Toename acquisitiefraude en domeinnaamfraude Sinds 11:52 | 9 mrt 2023
Let op (3/5): Valse sms met verzoek om whatsapp te sturen Sinds 15:26 | 7 mrt 2023
Let op (4/5): Valse e-mail MijnOverheid aangifte inkomstenbelasting Sinds 11:17 | 3 mrt 2023
Let op (5/5): Naam Fraudehelpdesk misbruikt Sinds 17:04 | 28 feb 2023

Campagne CEO-fraude

Wat is CEO-fraude?

Bij CEO-fraude ontvangt een medewerker op de financiële administratie een e-mail van de baas. Deze draagt hem op een fors bedrag over te maken naar een buitenlandse rekening. In werkelijkheid komt het verzoek helemaal niet van de baas, maar van een oplichter.

Bij grote organisaties gaat het om een e-mail uit naam van de hoogste baas, de CEO of CFO. Vandaar de naam CEO-fraude. Inmiddels zijn ook steeds vaker kleinere ondernemingen, stichtingen en verenigingen slachtoffer van deze vorm van oplichting.

Hoe gaan ze te werk bij CEO-fraude?

De oplichters gaan geraffineerd te werk. Ze hebben voorafgaand aan hun actie de e-mailadressen van de CEO en van de functionaris op de financiële administratie achterhaald. Voor de fraude gebruiken ze een afzendadres dat zó veel op het originele adres van de baas lijkt, dat het de ontvanger niet opvalt. Of ze maken gebruik van e-mailspoofing, waarbij het lijkt alsof de mail van een bepaald afzendadres afkomstig is. Een enkele keer is er daadwerkelijk sprake van het hacken van een mailaccount.



Soms wordt, voorafgaand aan het verzoek een betaling te doen, een korte mailwisseling gevoerd.

Bijvoorbeeld om te informeren of de financieel medewerker beschikbaar is of om te vragen of er nog voldoende saldo op een rekening staat.

Wanneer de administrateur bij een dochteronderneming of een buitenlands filiaal van een multinational werkt, zal hij de hoogste baas niet persoonlijk kennen. De afstand tussen beiden is zo groot, dat hij niet durft na te gaan of het verzoek wel klopt. Of de persoon die hem benadert zet hem zo onder druk dat er geen tijd voor is. Soms kan de werknemer ter verificatie van de gegevens een advocatenkantoor bellen. Dit ‘advocatenkantoor’ zit in het complot.

 

Deepfaken, een gevaarlijke ontwikkeling

Deepfake – het digitaal nabootsen van mensen in beeld of geluid – wordt steeds krachtiger. Er zijn voorbeelden van CEO-fraude bekend waarbij fraudeurs een nagemaakte stem inzetten. Met slechts enkele minuten spraak is het met behulp van kunstmatige intelligentie namelijk mogelijk iemands stemgeluid volledig na te bootsen. Dat betekent dat criminelen op basis van een enkel geluidsfragment iemand alles kunnen laten zeggen.Wall Street Journal meldde eerder dit jaar dat oplichters een Brits energiebedrijf 220.000 euro afhandig maakten met behulp van deze techniek. De Britse CEO dacht dat hij een telefoontje kreeg van de hoogste baas van het moederbedrijf uit Duitsland. Hij moest met spoed een bedrag overmaken aan een Hongaarse leverancier. De nagebootste stem van de Duitse ‘CEO’ was niet van de echte stem te onderscheiden. Een dergelijke ‘aanvalstechniek’ wordt vishing genoemd (een combinatie van voice en phishing).De gebruikte techniek is op dit moment nog erg duur, maar wordt steeds goedkoper. De dreiging van dit soort verfijnde aanvallen zal dan ook gaan toenemen naarmate de techniek ook beschikbaar wordt voor criminelen die niet over grote sommen geld beschikken. Securityspecialisten verwachten voor 2020 een grote toename van vishing.

Hoe herken ik CEO-fraude?

CEO-fraude is te herkennen aan de volgende eigenschappen:

  • Vaak wordt de nadruk gelegd op de gezagsverhouding; het betaalverzoek wordt als een opdracht gegeven.
  • De zogenaamde CEO benadrukt dat vertrouwelijkheid van groot belang is. De opdracht mag niet gedeeld worden met collega’s.
  • De medewerker wordt geprezen en belangrijk gemaakt. Hij/zij is uitgekozen om de opdracht uit te voeren vanwege zijn/haar uitzonderlijke kwaliteiten.
  • Het slagen van een transactie wordt op de schouders van een bepaalde medewerker gelegd. De druk wordt zo verhoogd.
  • De valse mails die deze nep-CEO’s sturen zijn meestal ook te herkennen aan het gebruik van een vals afzendadres. Heel vaak lijkt deze wel van het domein van het bedrijf te komen, maar is bijvoorbeeld een L vervangen door een hoofdletter i.
  • Tijdsdruk. Het geld moet snel overgemaakt worden.

Cijfers

Sinds januari 2017 werd bij de Fraudehelpdesk
777 keer*
een melding gedaan van CEO-fraude.
In totaal werd voor ruim € 4,5 miljoen aan schade gemeld.* Stand van zaken: half oktober 2019

Tips om CEO-fraude te voorkomen

  1. Maak uw medewerkers attent op het bestaan van CEO-fraude
  2. Stel duidelijke procedures vast voor het doen van grote betalingen en wijk daarvan niet af. Denk aan een vier-ogen-principe.
  3. Train uw medewerkers erop om in geval van gevoelige informatie of betalingen niet te replyen op een e-mail, maar het mailadres te selecteren uit de contactenlijst van het bedrijf.
  4. Maak werknemers bewust van het feit dat een stem niet per se echt hoeft te zijn maar door criminelen gemanipuleerd kan zijn
  5. Laat werknemers na een telefonisch ontvangen betaalopdracht bellen met de veronderstelde leidinggevende via de intern bekende telefoonnummers
  6. Bekijk uw website en social media-accounts kritisch. Is het nodig de namen, functies en contactgegevens van alle medewerkers openbaar te maken?
  7. Zorg dat uw e-mailbeveiliging op orde is.

Bent u slachtoffer van CEO-fraude?

Neem direct contact op met uw bank. Mogelijk kunt u nog voorkomen dat (een deel van) uw geld wordt overgeboekt.
Doe een melding bij de Fraudehelpdesk. Wij adviseren u over de overige te nemen stappen.