CEO-fraude

CEO-fraude of whaling is een vorm van fraude of oplichting waarbij er geprobeerd wordt om mensen geld te laten overmaken naar de bankrekening van de oplichter door zich voor te doen als een CEO of andere hooggeplaatste functie van een bedrijf.

CEO-fraude is een vorm van betalingsfraude.[1]

De CEO-fraude werkt als volgt. Een zogenaamde directeur (CEO), financieel directeur (CFO) of ander directielid van een bedrijf stuurt aan een medewerker van het bedrijf per e-mail een betaalopdracht of een verzoek om het rekeningnummer te wijzigen. In de communicatie wordt de nadruk gelegd op de gezagsverhouding en vaak ook op de vertrouwelijkheid. Ook kan een crimineel een medewerker bellen en telefonisch zich voordoen als directeur en zo druk uitoefenen om de betaling uit te voeren.[1] De e-mail is echter niet verstuurd door een personeelslid van het bedrijf, maar door cybercriminelen die zich als zodanig voordoen. Na het ontvangst van het geld wordt dit snel weggesluisd.[2][3]

De manier waarop cybercriminelen te werk gaan kan verschillen:[2][4]

  • Door e-mailspoofing kunnen criminelen een e-mail sturen uit naam van iemand anders. De medewerker ziet een vertrouwd e-mailadres waardoor er geen argwaan wordt gewekt.
  • Criminelen achterhalen het e-mailadres van de directeur en brengen in de domeinnaam een kleine onopvallende wijziging aan waardoor het lijkt alsof de e-mail afkomstig is van de directeur. In de domeinnaam wijzigt men bijvoorbeeld een m in rn of een i in l.
  • Criminelen weten op een of andere manier toegang te krijgen tot het e-mailaccount (zakelijk of privé) van de directeur en sturen vanaf dit account een e-mail met het betaalverzoek.

Cybercriminelen verdiepen zich van tevoren in de organisatie en weten voor wie ze zich moeten uitgeven en wie ze moeten benaderen. De medewerker die wordt benaderd, kent vaak de directeur niet, wordt geprezen voor diens werk en wordt onder druk gezet om de betaling uit te voeren. Vrijwel altijd is er zware tijdsdruk en moet het geld snel of meteen worden overgemaakt.[3] Om die reden worden ook tijdstippen gekozen waardoor de tijdsdruk nog verder wordt opgevoerd en er grote kans is dat de werknemer alleen is en dus geen ruggespraak met collega´s of managers kan voeren, bijvoorbeeld vrijdagmiddag om kwart voor vijf. Ook worden vaak junior werknemers geselecteerd in de hoop dat zij met hun gebrek aan ervaring sneller in de scam zullen trappen. Om de druk te verhogen worden er allerlei consequenties afgeschilderd wanneer de betaling niet direct plaatsvindt; het bedrijf loopt een grote order mis, een wederpartij zal het bedrijf aansprakelijk stellen, een belangrijke transactie gaat niet door, het zal gevolgen hebben voor de positie van de werknemer.

CEO-fraude kan voorkomen worden door de verschillende aspecten van de betalingsopdracht te controleren. Is het e-mailadres van de afzender juist? Klopt het rekeningnummer van de ontvanger met het rekeningnummer in de eigen administratie?[1]

Daarnaast worden betaalopdrachten normaliter via vaste procedures behandeld, maar wijkt deze bij CEO-fraude doorgaans af van wat gangbaar is.[1] Het volgen van deze procedure biedt al bescherming tegen CEO-fraude, vooral omdat altijd ten minste twee werknemers goedkeuring moeten geven (vier-ogen principe). Uiteraard zullen fraudeurs de werknemer proberen over te halen van deze procedure af te wijken, maar met name electronische betaalopdrachten kunnen zo worden gestructureerd bij de regeling van bankvolmachten dat ze slechts geldig zijn met twee electronische handtekeningen. Daardoor is overtreding van de procedure niet eens mogelijk.

Daarbij werkt ook training preventief tegen CEO- en andere vormen van fraude, omdat werknemers deze leren herkennen en leren hoe ze met dit soort druk om moeten gaan.

De schade als gevolg van CEO-fraude kan in de miljoenen lopen. In heel 2016 werd in Nederland met CEO-fraude 650.000 euro buitgemaakt, terwijl dat alleen al in heel januari t/m augustus 2018 al 2,5 miljoen euro.[5] Via deze vorm van fraude werd in 2018 de bioscoopketen Pathé opgelicht voor een bedrag van 19 miljoen euro.[6]