CEO-fraude voorkomen? ICT alleen is niet genoeg

Tegenwoordig ontvangt 1 op de 6 medewerkers met enige regelmaat een gespoofte e-mail. Het kan een bericht zijn als hierboven, met het verzoek geld over te maken of gevoelige informatie te verstrekken richting een zakenrelatie. In werkelijkheid gaat het geld naar een rekeningnummer van cybercriminelen. Deze vorm van social engineering staat bekend als ceo-fraude en komt ook in Nederland steeds vaker voor.

Cybercriminelen vertrouwen hierbij op menselijke fouten: vroeg of laat zal er een medewerker van een bedrijf zijn die gehoor geeft aan een verzoek in een valse e-mail. Uiteraard kunnen IT-managers een hoop doen om dit soort e-mails buiten de deur te houden. Sterke spamfilters en domeinchecks zijn vrij eenvoudige hulpmiddelen. Daarbij is zelflerende software die e-mails van onbetrouwbare afzenders (en zelfs met malware en ransomware) blokkeert nog voordat ze de inbox van gebruikers bereiken het overwegen waard.

Maar ergens houden de technologische mogelijkheden op. Je kunt de e-mailserver niet zodanig afschermen dat financieel medewerkers als Marleen nauwelijks nog berichten ontvangen, laat staan dat je de beveiliging van het digitale betalingsverkeer zo verfijnd maakt dat personeel een halve dag bezig is om een simpele overboeking te doen.

Moet de IT-afdeling dan maar hopen dat medewerkers geen fouten maken? Nou nee. IT’ers hoeven niet op hun handen te blijven zitten omdat de technologie te wensen overlaat. Om de kans op kostbare fouten zo klein mogelijk te maken is het verstandig om, net als de cybercriminelen, in te spelen op de menselijke factor. Medewerkers moeten met behulp van de IT-afdeling door hun leidinggevenden op de hoogte gesteld worden van het bestaan van ceo-fraude, dat vergroot de waakzaamheid bij werknemers. Naast oefenen in het herkennen van verdachte mails, die dan wel gemeld moeten worden, valt er meer te doen. Natuurlijk moet zo’n oefening niet eenmalig zijn, want de CEO-fraudeurs verfijnen hun berichten. Daarnaast kunnen nog een aantal andere voorzorgsmaatregelen genomen worden:

• Laat betalingen vooraf altijd door een tweede medewerker (liefst een leidinggevende) controleren.
• Check bij buitenlandse overboekingen of het opgegeven rekeningnummer wel hoort bij het land waar de crediteur vandaan komt.
• Neem telefonisch contact op met de directeur of leidinggevende van wie het verzoek zou komen (uiteraard niet middels een telefoonnummer in de verdachte e-mail) om een afwijkende betalingsopdracht te verifiëren.
• Zorg dat er een procedure is om verdachte e-mails te melden bij de IT-afdeling.

De enorme toename van het aantal pogingen tot ceo-fraude (volgens het Britse IT-bedrijf Mimecast gaat het om een stijging van 80% ten opzichte van het eerste kwartaal van 2018) geeft aan dat cybercriminelen heel goed weten dat technologie alleen ze niet kan stoppen. Zowel de politie als de Nederlandse Vereniging van Banken maant tot voorzichtigheid. Omdat betalingen in het geval van ceo-fraude worden uitgevoerd door een gelegitimeerd persoon binnen de organisatie, wordt de schade niet vergoed door bank of verzekeraar. De verloren bedragen lopen uiteen van 10.000 euro tot meer dan 100.000 euro per geval.

Zo werden afgelopen juni in korte tijd meerdere bedrijven in Nieuwerkerk aan den IJssel het slachtoffer van ceo-fraude. En het zijn niet alleen mkb-bedrijven die het schip in gaan. Voetbalclub Lazio Roma moest onlangs voor sporttribunaal CAS verschijnen omdat Feyenoord nog geld te goed heeft van de Italianen in verband met het vertrek van Stefan de Vrij naar Rome in 2014. Van de transfersom van 6,5 miljoen euro belandde 2 miljoen euro nooit in Rotterdam, maar in de zakken van een paar vernuftige cybercriminelen die zich voordeden als clubbestuurders. Samenwerking tussen de afdelingen had dit verlies kunnen voorkomen.

De aanpak van CEO-fraude ligt niet alleen in handen van de IT-afdelingen, maar moet een samenspel zijn. Net zoals op het veld...