CEO-fraude voorkomen

Hoe voorkomt u CEO-fraude?

  • Stel duidelijke procedures vast voor het doen van grote betalingen en wijk daar niet van af.
  • Laat werknemers na een telefonisch ontvangen betaalopdracht bellen met de veronderstelde leidinggevende via de intern bekende telefoonnummers en/of laat nog minstens één andere persoon naar het betaalverzoek kijken voordat het uitgevoerd wordt.
  • Informeer uw medewerkers over het bestaan van CEO-fraude en van deepfake.
  • Leer uw medewerkers om in het geval van gevoelige betalingen niet op reply te drukken, maar het mailadres te selecteren uit de contactenlijst/het eigen adresboek van het bedrijf.
  • Bescherm uw e-mailadres en maildomein tegen spoofing en hacken: gebruik technieken als SPF, DKIM en DMARC, zorg voor goede antivirussoftware en gebruik sterke, unieke en regelmatig wisselende wachtwoorden.
  • Bekijk uw website en social media-accounts kritisch: is het nodig de namen, functies en contactgegevens van alle medewerkers openbaar te maken?

 

CEO-fraude is een vorm van fraude waarmee vaak grote bedragen gemoeid zijn: de CEO van een bedrijf vraagt de financieel medewerker van het bedrijf zo snel mogelijk een groot bedrag over te maken voor een geheime deal. De gewone betaalprocedures kunnen voor dit speciale geval niet gevolgd worden.

Tegenwoordig zijn ook kleinere ondernemingen, stichtingen en verenigingen in toenemende mate slachtoffer van deze vorm van oplichting. Bij de betaalverzoeken gaat het niet altijd om geld: er wordt ook gevraagd om de aanschaf van b.v. iTuneskaarten of cadeaubonnen.

Grotere bedrijven zijn een geliefd doelwit voor oplichters, omdat bij die bedrijven de afstand tussen de CEO en de financieel medewerker groot is. De medewerker kent de CEO niet persoonlijk en werkt vaak bij een dochteronderneming of buitenlands filiaal van het bedrijf. Hierdoor durft hij niet na te gaan of de opdracht wel echt is. Daar komt bij dat er vaak gebruik gemaakt wordt van tijdsdruk, waardoor de medewerker geen tijd heeft navraag te doen.

Soms wordt aangegeven dat er gebeld kan worden met een ‘advocatenkantoor’ om te checken of de opdracht uitgevoerd mag worden. Dit kantoor hoort ook bij de oplichters.

De oplichters hebben vooraf vaak onderzoek gedaan naar wie verantwoordelijk is voor de financiële administratie. Ook hebben ze de mailadressen van de CEO en de medewerker financiële administratie achterhaald via b.v. de website en/of social media. Soms wordt voorafgaand aan het betaalverzoek een korte mailwisseling gevoerd. Bijvoorbeeld om te informeren of de financieel medewerker beschikbaar is en of er nog voldoende tegoed op de rekening staat.

Voor de mail naar de financieel medewerker wordt een adres gebruikt dat bijna niet te onderscheiden is van het echte mailadres van de CEO, b.v. door een ‘l’ te vervangen door een ‘i’. Ook wordt wel gebruik gemaakt van ‘spoofing’, waarbij het lijkt alsof de mail van een bepaald afzendadres komt. Een enkele keer is het mailaccount daadwerkelijk gehackt.

Naast de mail wordt voor deze vorm van fraude ook gebruik gemaakt van online programma’s als Microsoft Teams en Zoom. De CEO is dan vanwege een storing alleen met een foto te zien. Ook kan er sprake zijn van deepfake: het nabootsen van mensen met beeld en geluid, waardoor de ontvanger denkt met de echte persoon te maken te hebben. Met de opkomst van AI (artificial intelligence) neemt de kans dat er sprake is van deepfake toe.