Bij CEO-fraude doet een fraudeur zich voor als de CEO of CFO van een bedrijf en geeft hij een medewerker opdracht om met spoed een groot bedrag over te maken, bijvoorbeeld voor een overname. Dit gebeurt via e-mail naar de medewerker die verantwoordelijk is voor de betalingen binnen het bedrijf. In werkelijkheid gaat dit bedrag dus naar de criminelen. De Fraudehelpdesk ziet een sterke toename in het aantal gevallen van CEO-fraude ten opzichte van voorgaande jaren. Niet alleen multinationals maar ook kleinere bedrijven, stichtingen en verenigingen worden slachtoffer van CEO-fraude. CEO-fraude kan flinke schade veroorzaken, een bekend voorbeeld is bioscoopketen Pathé die in 2018 voor € 19 miljoen is opgelicht door middel van CEO-fraude.
De oplichters die zich voordoen als de CEO gaan goed voorbereid te werk. Door middel van eerder verstuurde phishing e-mails achterhalen ze inloggegevens en komen ze binnen in de mailbox van het slachtoffer. Ze lezen mee om te weten welk taalgebruik gangbaar is binnen de organisatie. Daarnaast achterhalen ze zo wie er verantwoordelijk is voor betalingen, zodat ze weten wie ze moeten benaderen.
Vervolgens doen de criminelen zich voor als de CEO en benaderen ze de financieel medewerker in kwestie met de opdracht om met spoed een groot geldbedrag over te maken, vaak naar een buitenlandse rekening. Ter verificatie van de gegevens kan de medewerker een advocatenkantoor bellen, maar dit ‘advocatenkantoor’ zit in het complot.
Met de beveiligingsproducten van BeProtected zorg je dat jouw medewerkers veilig kunnen werken.
Zoals gezegd gaan de oplichters goed voorbereid te werk. Ze verdiepen zich in de organisatie en kennen de communicatiestromen en werkwijzen. Dit soort informatie zou een buitenstaander niet kunnen weten. Daarnaast wordt er bij CEO-fraude sterk de nadruk gelegd op gezagsverhoudingen, de opdrachtgever is een hooggeplaatst persoon binnen de organisatie en de betaalopdracht wordt als een bevel gegeven. Ook is er sprake van tijdsdruk (bijvoorbeeld een deadline voor een overname of belangrijke levering) en wordt de vertrouwelijkheid van de betaling benadrukt; de medewerker mag het niet bespreken met collega’s. Soms kent de medewerker de CEO ook niet persoonlijk, bijvoorbeeld bij een multinational. De afstand tussen beiden is dan zo groot, dat hij niet durft na te gaan of de betaling wel klopt. Daarnaast lijkt de correspondentie, het e-mailadres en het taalgebruik echt. Dit alles maakt dat de medewerker te goeder trouw de betaling uitvoert.
Een eerste stap is vaak het hacken van de mailbox van de CEO. Maar als dit niet mogelijk is creëren criminelen vaak een e-mailadres met een domeinnaam die erg lijkt op het domein van het bedrijf. De e-mails die de criminelen sturen zijn dan te herkennen aan een vals afzendadres. De e-mail lijkt op het eerste gezicht van het domein van het bedrijf te komen, maar er zit een kleine wijziging in – de letter ‘I’ is bijvoorbeeld vervangen door een hoofdletter ‘i’, of de letter ‘m’ is vervangen door ‘rn’.
Om CEO-fraude te voorkomen is het belangrijk om medewerkers hierop attent te maken, zodat ze weten hoe ze dit type fraude kunnen herkennen. Wees alert op e-mails en/of telefoontjes met een dwingend karakter en smoesjes waarom een betaling spoed heeft en moet afwijken van de normale procedure. Enkele andere tips om CEO-fraude te voorkomen zijn:
Ben je slachtoffer geworden van CEO-fraude? Neem dan zo snel mogelijk contact op met je bank. De bank kan een door jou ondertekende betalingsopdracht niet terugdraaien, maar kan proberen contact op te nemen met de bank van de begunstigde om daar de transactie te laten stoppen. Echter is dat in veel gevallen niet meer mogelijk omdat het geld gelijk na overboeking in contanten is opgenomen. Doe ook direct aangifte van CEO-fraude bij de politie.