KATWIJK - Een bedrijf uit Katwijk heeft een oplichtingstruc weten te omzeilen dankzij een oplettende medewerker van een van hun distributeurs. De medewerker kreeg argwaan toen er een factuur binnenkwam waarop het rekeningnummer van het Katwijkse bedrijf was gewijzigd.
De oplichting begint met een telefoontje naar het Katwijkse bedrijf. De criminelen doen zich voor als medewerkers van een distributeur van het bedrijf en informeren naar een factuur die nog open zou staan. Later ontvangt deze zelfde distributeur een factuur van het Katwijkse bedrijf, zogenaamd uit naam van twee bestuurders. De factuur bedraagt ruim 200.000 euro. Ook krijgt de distributeur een telefoontje waarin de oplichters benadrukken dat de factuur zo snel mogelijk betaald moet worden.
Een oplettende medewerker ziet echter dat het rekeningnummer op de nepfactuur niet overeenkomt met het nummer dat bekend is bij de distributeur. Zij belt daarom eerst naar het bedrijf met de vraag of het klopt dat het rekeningnummer is gewijzigd. Dit blijkt niet het geval.
Wanneer er nog eens goed naar de mail wordt gekeken blijkt bovendien dat het mailadres van de afzender 1 letter verschilt met dat van het Katwijkse bedrijf. Wel is de mail ondertekend met namen van daadwerkelijke medewerkers van het bedrijf, hun identiteit werd dus vervalst. Het bedrijf deed aangifte.
CEO-fraude
De vorm van oplichting waarvan deze criminelen gebruik maakten noemen we CEO-fraude.
Bij CEO-fraude doen de fraudeurs alsof de CEO (Chief Executieve Officer) of directeur opdracht geeft om een (vaak groot) bedrag snel over te maken. De persoon die verantwoordelijk is voor de financiën krijgt een e-mail of telefoontje, zogenaamd van de CEO of een andere bestuurder. Het verzoek is een groot bedrag over te maken. Het geld is vaak al verdwenen voor dat er contact is met de echte CEO. Soms is er een combinatie met een cybercrimedelict. Door het hacken van een e-mailserver kunnen e-mails onderschept worden en weet de verdachte wie hij moet benaderen voor de oplichting.
Herkennen en voorkomen CEO-fraude
Voordat CEO-fraudeurs toeslaan, verzamelen ze informatie over het beoogde bedrijf. Ze weten wie verantwoordelijk is voor de financiën. Verdiepen zich in het taalgebruik van een bedrijf en registreren domeinnamen die lijken op die van het bedrijf dat ze willen aanvallen. Meestal wordt benadrukt dat het een strikt vertrouwelijk verzoek is dat snel afgehandeld moet worden.
Wat kunt u doen om CEO-fraude te voorkomen?
- Maak medewerkers attent op het verschijnsel van CEO-fraude.1
- Vier ogen principe: Laat betalingen altijd door minimaal twee medewerkers bekijken voordat deze worden betaald.
- Stel duidelijke richtlijnen op over de uitvoer van betalingen. Benadruk dat onder geen beding van deze richtlijnen wordt afgeweken. Laat medewerkers bij een betaalverzoek nooit via een ‘reply’ reageren. Gebruik het e-mailadres uit de contactlijst van uw bedrijf.
- Vertrouw niet op de spamfilter, die houdt dit soort berichten doorgaans niet tegen.
- Wees u er van bewust dat openbaar beschikbare informatie kan worden misbruikt. Denk hierbij bijvoorbeeld aan gegevens van profielen op LinkedIn, Facebook etc.
- Controleer wijzigingen stamgegevens (rekeningnummer, adresgegevens etc.) via de telefoon
- Maak afzender e-mail adres(sen) zichtbaar voor gebruikers binnen uw organisatie