Wat is CEO Fraude?

Het ED: “CEO Fraude kost Bioscoopketen Pathé 19,2 miljoen euro”

Bioscoopketen Pathé is slachtoffer geworden van CEO-fraude, waarbij meer dan 19 miljoen euro is buitgemaakt.

Criminelen deden zich voor als directeuren van het Franse hoofdkantoor en stuurden e-mails naar de Nederlandse directie met het verzoek om geld over te maken, melden Quote en het FD op basis van een vonnis van de rechter deze week over de zaak.

 Zo wordt aan de tweekoppige directie gevraagd om 800.000 euro over te maken om een overname in het buitenland te bekostigen, met het dringende verzoek niemand op de hoogte te stellen van de transacties om concurrenten de wind uit de zeilen te nemen. In de mail wordt ook verzocht om het contact strikt via de e-mail te doen. De Nederlandse directie van Pathé heeft zijn twijfels, maar werkt toch mee.

 Na de eerste transactie beginnen de fraudeurs om steeds grotere bedragen te vragen. Zo wordt er in de tweede transactie bijna 2,5 miljoen euro overgemaakt, in de twee transacties die volgen nog eens 11 miljoen. In een kleine drie weken tijd wordt er in maart dit jaar bij elkaar een geldbedrag overgemaakt van 19,2 miljoen euro.

LEES MEER >>

NOS Nieuws: “Elektronicafabrikant Elco failliet door CEO Fraude”

CEO-fraude is de aanleiding geweest voor het bankroet in december van elektronicafabrikant Elco, zo blijkt uit het faillissementsverslag van curator Geurt te Biesebeek.

 Bij deze steeds vaker voorkomende vorm van internetfraude doen criminelen zich in e-mails voor als directeur of andere belangrijke persoon in een organisatie. Ze geven een medewerker van de financiële afdeling opdracht direct geld over te maken voor bedrijfsdoeleinden.

 Bij Elco (voorheen Ramaer) zijn de e-mailadressen van de topman van het moederbedrijf in Italië en een medewerker op de financiële administratie gehackt. Via vervalste maar sterk gelijkende e-mailadressen verstrekten criminelen betalingsopdrachten uit naam van de topman. Meer dan twee ton werd overgemaakt naar een gefingeerde bankrekening in China. Zo'n € 550.000 euro werd gestort op een rekening in Roemenië.

LEES MEER >>

Dit kunnen de gevolgen zijn van CEO Fraude.

Maar wat is CEO Fraude nu eigenlijk?

CEO-fraude is een algemene benaming voor een groeiende vorm van Cybercrime waarbij er gebruik wordt gemaakt van een nep-email die zogenaamd door een hoge functionaris (directeur of eigenaar) van het eigen bedrijf is gestuurd. Er wordt dan misbruik gemaakt van de zogenaamde “druk” die er achter de opdracht zit. De email adressen of de domeinnamen die worden gebruikt lijken dan erg veel op de echte.

Hoe werkt CEO-fraude?

De crimineel die zich uitgeeft als CEO of iemand anders op het hoogste niveau van het bedrijf- vraagt een financieel medewerker of andere medewerker die geautoriseerd is betalingen uit te voeren snel en vertrouwelijk een bedrag over te maken. Deze betaling gaat vaak naar het buitenland. Om vertrouwen te winnen, geeft de crimineel gegevens door van een organisatie zoals bijvoorbeeld van een (niet-bestaand) advocatenkantoor die de opdracht kan bevestigen. Vaak kennen de medewerker van de financiële administratie en de CEO elkaar niet persoonlijk. De financieel medewerker werkt bijvoorbeeld bij een filiaal of dochteronderneming elders in het (buiten)land. Mede door de afstand tussen beiden durft de financieel medewerker niet te controleren of de opdracht wel klopt.

De criminelen hebben eerder uitgevist via  phishing welke personen ze precies moeten benaderen in een organisatie en mailadressen van de medewerker van de financiële administratie en CEO achterhaald. Vaak begint het fraudeproces met een valse email zogenaamd uit naam van de CEO of ander persoon in de directie van een bedrijf. Het email adres wijkt miniem af van het echte mailadres van CEO. Daarna wordt de medewerker gebeld en druk op hem of haar uitgevoerd. De medewerker wordt verteld dat spoed en vertrouwelijkheid van zeer groot belang zijn bij de betaling. De betaling wijkt qua procedure af van hetgeen normaal is in het bedrijf. Naam en rekeningnummer van de degene waar het geld naartoe moet worden overgemaakt zijn onbekend binnen het bedrijf. Omdat de betaling door een gelegitimeerd persoon wordt uitgevoerd, is de fraude moeilijk te onderscheppen en wordt de fraude niet vergoed door bank en/of verzekeraar.

Spoofing

Om slachtoffers te misleiden worden verschillende tactieken gebruikt. Ze maken bijvoorbeeld gebruik van “spoofing” technieken waarbij de “From” en “To” informatie van een email kan worden veranderd. De email lijkt dan van de directeur te komen maar in werkelijkheid is hij door een oplichter gestuurd. Ook worden er soms domeinnamen geregistreerd die erg veel op de domeinnaam van het bedrijf lijken. Je kunt bijvoorbeeld een letter i vervangen door een “l” (de L van Lodewijk). cees.devries@cybercrimeinfo.nl wordt cees.devries@cybercrimelnfo.nl . Deze vorm van oplichting komt in alle branches voor, in zowel grote als kleinere organisaties.

Het begint met phishing

In veruit de meeste gevallen worden dergelijke praktijken geïnitieerd door een of andere vorm van social engineering om gegevens over de organisatie te verkrijgen. Denk hierbij met name aan de verschillende vormen van phishing (Bijv. Phishing, Spear-phishing, Whaling).

Alleen Financiële Afdeling?

Niets is minder waar. Naast de financiële afdeling zijn ook andere afdelingen kwetsbaar. HR (personeelszaken) fungeert soms voor hackers als een snelweg de organisatie in. HR heeft immers toegang tot informatie over alle medewerkers in de organisatie en zijn verantwoordelijk voor de recruitment. Ze openen CV’s van honderden sollicitanten. Cybercriminelen kunnen eenvoudigweg hun malware met de CV meesturen om hun zoektocht naar bedrijfsinformatie te beginnen. Ook sturen slachtoffers van bedrijven naar aanleiding van valse emails van de belastingdienst gevoelige persoonsgegevens op zoals BSN-nummers, email-adressen, etc.

Doelgroep

Alle leden van het management (incl. de directiesecretaresses) van een organisatie zijn een interessante doelgroep voor hackers. Ze hebben immers toegang tot interessante informatie.

Tips:

• Moet het geld naar een ander rekening­ nummer worden overgemaakt in een ander (vreemd) land? Controleer dit bij de ontvangende partij met een voor u bekend telefoonnummer of e­mailadres.
• Maak geen gebruik van het e­mailadres of het telefoonnummer genoemd in de mail. Deze hoort bij de crimineel of een andere partij in het complot.
• Controleer het e­mailadres van de afzender en let op (kleine) wijzigingen.
• Pas het vier­ogen principe toe boven een bepaald bedrag of bij spoedbetalingen waarbij sprake is van druk.

Hieronder een samenvatting van het fenomeen CEO-Fraude