CEO-fraude: Hoe een valse email u erg veel geld kan kosten
Bij hackers en cybercriminelen denkt u waarschijnlijk aan superslimme computer nerds zoals te zien in films en crime-series. Die computer geeks die in een paar minuten versleutelde laptops kraken, deurcodes omzeilen en zwaarbeveiligde computersystemen binnendringen.
Waarom zou je geld stelen als je mensen zo ver kan krijgen dat mensen het gewoon zelf naar je overmaken.
Maar de werkelijkheid is veel minder spannend. De meeste cybercriminelen weten weinig van hacken en gebruiken meer traditionele middelen als afpersing en oplichting. Minder moeilijk en veel meer resultaat. De tools en methodes hebben ze niet zelf bedacht. Die kopen ze gewoon op het “dark web”
CEO fraude
Gewoon door een of meerdere simpele mailtjes krijgen ze boekhouders en financiële afdeling van bedrijven zover dat ze grote bedragen overmaken naar hun rekening.
Geen dwang of chantage, geheel vrijwillig.
Een broodje aap verhaal zeker?
Was het maar zo. Het is de harde realiteit. Zo is de Duitse kabelfabrikant Leoni 40 miljoen euro kwijtgeraakt.
De welbekende groeiguru Verne Harnisch is zo 400.000 dollar kwijtgeraakt.
En zo zijn er nog ontelbare voorbeelden. Ook in Nederland. In juli 2016 schreef de NRC er al over.
Het wordt CEO-fraude of in Nederland directeursfraude genoemd.
Hoe werk dat dan zult u vragen.
De financiële afdeling krijgt een mail met het verzoek van de directeur om een bedrag over te maken. Het is belangrijk en er is haast bij. Het lijkt zo bedrieglijk echt en aannemelijk dat een financiële afdeling het soms zonder verdere controle gewoon uitvoert. Anderen zijn wat alerter en mailen terug voor wat uitleg. Alleen is het emailadres net even anders. Maar dat valt niet op. Daarna krijgen ze verdere details voor de opdracht.
Nu zal niet iedereen er in trappen. Maar het is net als met SPAM. Als je het maar naar genoeg bedrijven stuurt is er maar een zeer klein percentage succes nodig om flink te verdienen.
Niet slim, maar het gebeurd.
Soms gaan ze een stap verder
Maar in andere gevallen (zoals bij Verne Harnish) gaan ze iets uitgebreider te werk.
Het ongelofelijke relaas over hoe Verne Harnish $400.000 verloor >>
Eerst wordt de email van de directeur gehackt. Dat is makkelijker dan u zou denken. We zijn nu eenmaal slordig met wachtwoorden. We gebruiken bv vaak hetzelfde wachtwoord voor social media accounts als LinkedIn en voor onze email. En natuurlijk veranderen we die wachtwoorden ook nog eens zelden. Laat er nu in 2012 LinkedIn 112 miljoen wachtwoorden gestolen te zijn. Kwestie van opzoeken dus.
Een alternatieve methode die cybercriminelen gebruiken om gebruikersnamen en wachtwoorden te achterhalen is het afluisteren van openbare wifi.
Eenmaal binnen kijken de cybercriminelen een tijdje mee met het email verkeer van de directeur. Daarbij leren ze wat normaal is en achterhalen ze veel extra informatie. Daarna imiteren ze de stijl in de e-mails met de financiële afdeling. Die kan ook terugmailen. Dat onderscheppen ze voordat de directeur het leest.
Maar hier in Nederland en bij MKB-bedrijven komt dat toch niet voor?
De cybercriminelen doen het ook in Nederland. Bij grote bedrijven en ook bij MKB-bedrijven. Misschien is het bij ons wat lastiger vanwege de Nederlandse taal. Maar uit ervaring weten we dat ze snel leren.
In juni 2016 waarschuwde het Nationaal Cyber Security Centrum (NCSC) hier al voor.
Inmiddels hebben we ook de eerste meldingen van onze klanten dat ze daadwerkelijk zo’n mail hebben ontvangen.
Kunnen we voorkomen dat deze e-mails komen?
Helaas is dat niet mogelijk.
Het is kinderlijk eenvoudig om een e-mail afkomstig te laten lijken van een willekeurig iemand. Van president Trump, van de kerstman of in dit geval de directeur. Pas als je wat verder kijkt zie je dat het niet klopt. Maar niet iedereen doet dat. Hackers gebruiken dit steeds. Denk aan alle (valse) emails van de bekende banken.
Soms vangt het spamfilter ze af. Maar zeker niet in alle gevallen.
Een iets andere vorm maar net zo schadelijk: factuurfraude
Papieren facturen worden uit de brievenbus gevist en met een aangepast bankrekeningnummer terug gestopt. Of er wordt een brief /e-mail naar de financiële afdeling gestuurd met een wijziging van het rekeningnummer waarop betaald moet worden. Zo raakte een gemeente 566000 dollar kwijt.Of u krijgt een melding dat het rekeningnummer van een factuur is gewijzigd.
Cybercriminelen hacken dus ook leveranciers van u en mengen zich ongemerkt in de email conversatie van die leverancier met u. Zoals hier
Zelfs prive kan het gebeuren. Ook hier zijn gevallen bekend dat mensen hun betaling hebben gedaan naar de rekening van de cybercriminelen.Ook hier weer even opletten en bij twijfel controleren. Niet per email, maar door de telefoon.
Wat kunt u doen tegen pogingen van CEO-fraude?
De oplossing is simpel: Maak de boekhouder of de financiële afdeling bewust van dit gevaar. Laat ze alert zijn op vreemde of afwijkende e-mails. Hoe hoger het bedrag en hoe vreemder het verzoek des te eerder moeten de alarmbellen afgaan. ( denk aan: nieuwe projecten, overnames, onbekende en/of buitenlandse rekeningen. Het zijn allemaal signalen dat er iets niet pluis kan zijn)
Zorg dat niemand zonder een deugdelijk verificatie zomaar geld gaat overmaken naar aanleiding van een “dringend” mailtje. Gewoon never nooit. Altijd even checken via bv de telefoon.
Help ze door zelf ook nooit op die manier een betalingverzoek door te sturen.
Kijk eens kritisch naar uw wachtwoorden. Zijn ze allemaal verschillend. Zijn ze ook niet te makkelijk te raden. Wijzig de belangrijkste regelmatig.
Ook zo’n mail gehad? Laat het mij hieronder weten.