CEO fraude: 5 tips voor ondernemers

Hoe herken je CEO fraude en andere vormen van Business E-mail Compromise? En met welke maatregelen kun je het cybercriminelen moeilijk maken?

Ondernemers kunnen interessante doelwitten zijn voor criminelen. Die gaan vaak zo geraffineerd te werk, dat zelfs de meest oplettende medewerker alsnog reageert op een valse mail of bedrag overmaakt.

Wat is CEO fraude?

CEO fraude rekenen we tot Business E-mail Compromise (BEC). Dit is een geavanceerde vorm van phishing (phishing betekent het online vissen naar geld of gegevens) die het e-mailkanaal misbruikt en zich vooral op bedrijven richt. Een BEC-aanval begint bij grondig voorwerk door de fraudeur. Deze heeft een bedrijf in het vizier en speurt het web af op zoek naar e-mailadressen en sociale mediaprofielen van medewerkers. 

De fraudeur doet zich vaak voor als iemand anders. Bijvoorbeeld door een e-mailadres aan te maken dat sprekend lijkt op dat van de CEO van het bedrijf, of door een bestaand e-mailadres te vervalsen. Of hij steelt het wachtwoord van een e-mailaccount via een phishing- of malware-aanval, en logt met dit wachtwoord in op een e-mailaccount. Zo lijkt het net alsof de e-mail van een bekende komt. Het doel van de fraudeur is om vertrouwelijke bedrijfsinformatie los te peuteren en medewerkers over te halen geld over te maken. Natuurlijk naar bankrekeningnummers die hij beheert.

Business E-mail Compromise: 3 varianten

We kennen drie varianten van BEC: CEO-fraude, de valse factuur en het hacken van een e-mailaccount. 

Bij CEO-fraude doet de fraudeur doet zich voor als een hooggeplaatste medewerker van uw bedrijf, vaak een CEO of directeur. Deze zogenaamde CEO stuurt een urgente e-mail, bijvoorbeeld over een project waar direct een betaling voor nodig is. Ook kan de zogenaamde CEO de medewerker verzoeken om vertrouwelijke informatie over het bedrijf prijs te geven. Zo belanden geld of gegevens in handen van de fraudeur.

In geval van de valse-factuurscam ontvangt de medewerker van een bedrijf een factuur van een leverancier met wie het bedrijf al een tijd samenwerkt. Wel wordt hem gevraagd om het bedrag over te maken naar een ander rekeningnummer dan normaal. Op deze manier beland het bedrag in handen van de fraudeur. 

Bij het hacken van een e-mailaccount krijgt de fraudeur toegang tot het e-mailaccount van een medewerker van de financiële afdeling en zoekt daar naar te versturen facturen. De fraudeur past het rekeningnummer op deze factuur aan, of vraagt de financiële afdeling van het bedrijf om dit te doen. Of hij stuurt een bericht bij de factuur dat het rekeningnummer van het bedrijf is gewijzigd. Zo komt de verzochte betaling uiteindelijk bij de fraudeur terecht.

5 Tips voor ondernemers

Cybercriminaliteit is een serieus risico voor ondernemers. Met welke maatregelen kunnen ondernemers het cybercriminelen zo lastig mogelijk maken? 

  1. Maak fraude bespreekbaar en organiseer trainingen
    Nog steeds is de mens de zwakste schakel in cyberbeveiliging. Maak fraude daarom bespreekbaar in het bedrijf (en vooral op afdelingen die betaalopdrachten verwerken) en vergroot zo de oplettendheid van medewerkers. Sta open voor hun vragen en twijfels van; zij kennen de praktijk. Inventariseer daarnaast de belangrijkste risico’s voor je bedrijf en geef medewerkers trainingen en tips om die te verkleinen. Neem de risico’s op in een digitaal ontruimingsplan voor cyberaanvallen. Het is dan direct duidelijk wat medewerkers moeten doen als het tóch misgaat. 
  2. Richt een intern meldpunt in
    Maak medewerkers ervan bewust dat fraudeurs vaak werken met valse e-mails. Richt een intern meldpunt in voor vreemde e-mails en verzoeken tot overboeking. Benoem iemand die dit soort e-mails verifieert en zo nodig direct actie onderneemt. Voer ook regelmatig een phishing-test (een e-mail met een afwijkend verzoek) uit bij medewerkers of verstuur eens een valse factuur. Dit vergroot het bewustzijn enorm. 
  3. Kijk kritisch naar recente en afschrijvingen
    Kijk regelmatig kritisch naar recente afschrijvingen. Staat er een onbekende afschrijving tussen? Neem direct contact op met de bank. 
  4. Houd betaalprocessen tegen het licht
    Hoe worden binnenkomende facturen eigenlijk afgehandeld? Houd eens de betaalprocessen tegen het licht. Stel regels op over wie een betaalopdracht mag uitvoeren als er geen goedgekeurde factuur is. Of zorg ervoor dat er altijd meerdere handtekeningen moeten worden gezet bij een betaalopdracht. Functiescheiding en dubbele autorisatie zijn hier prima tools voor. 
  5. Bescherm het domein tegen spoofing
    Spoofing is een e-mail die ongewenst vanuit het account van het bedrijf wordt verstuurd. Bij de e-mailprovider van het bedrijf kun je als ondernemer hiervoor een zogenaamde DMARC/DKIM-bescherming regelen.