In gesprek met het ceo-fraude team van de politie Den Haag

Het Anti Money Laundering Centre (AMLC), de Nederlandse Vereniging van Banken, de FIOD en adviesorganisatie PwC waarschuwden onlangs voor een toename van het aantal gevallen van CEO-fraude in coronatijd. Door de fysieke afstand tussen medewerkers en directie is de kans groter dat een personeelslid met spoed geld overmaakt omdat de directeur dat per e-mail verzocht heeft. Als wordt ontdekt dat het verzoek van de directeur eigenlijk afkomstig is van internetcriminelen, is het geld vaak al verdwenen. De schade van CEO-fraude loopt per geval uiteen van enkele duizenden euro’s tot vele miljoenen, zoals in 2018 bij bioscoopketen Pathé gebeurde. Het cybercrimeteam van de politie-eenheid Den Haag zet in op de meest complexe zaken.

Jelle Wieringa: BEC krijgt minder aandacht dan veel andere vormen van cybercriminaliteit, zoals ransomware-aanvallen. Waarom focust het cybercrimeteam zich op CEO-fraude?

Arjen van Giersbergen: “Iedere politie-eenheid heeft sinds enige tijd een cybercrimeteam. Deze teams werken landelijke samen en hebben onderling afgestemd op welke fenomenen zij focussen. In Den Haag hebben wij het fenomeen CEO-fraude geadopteerd en proberen we kennis en expertise te verweven over dit thema, zodat we die kennis kunnen delen met de andere cybercrimeteams. Het doel is telkens om op zoek te gaan naar kansen om het criminele proces te verstoren en samen met partners te werken aan bewustzijn en preventie. Met alleen het opsporen van de daders van CEO-fraude gaan we het niet redden. Het aantal zaken is vele malen groter dan dat wij kunnen onderzoeken, en bovendien stopt louter opsporing het criminele proces vaak niet.”

Gina Doekhie: “Het klopt dat CEO-fraude in de media minder aandacht krijgt dan ransomware, ook al zien wij net zoveel geregistreerde gevallen en ongeveer dezelfde schadebedragen. Het daadwerkelijke aantal gevallen van BEC ligt waarschijnlijk wel een stuk hoger. Bij CEO-fraude is de schade vaak alleen financieel, en daarom doen veel organisaties geen aangifte. Daar zijn allerlei redenen voor te bedenken: hoofdelijke aansprakelijkheid van bestuurders, angst voor reputatieschade en daardoor extra financiële schade, of schaamte voor het feit dat processen niet op orde zijn. Die schaamte willen we wegnemen. Want of iemand nou op een link geklikt heeft of een frauduleuze factuur betaald heeft, het slachtoffer is misleid.”

Mee naar invallen

JW: Neem ons eens mee in de dagelijkse praktijk. Hoe ziet het team eruit? En wat zijn jullie voornaamste werkzaamheden?

AvG: “Ons team bestaat op dit moment uit zestien leden. Omdat we verschillende specialismen bij elkaar wilden brengen, is het team een mix van technisch specialisten, tactisch specialisten, intelligencemedewerkers en financieel specialisten. De financiële mensen hebben we hard nodig omdat cybercriminaliteit vaak gepaard gaat met ondoorzichtige geldstromen en cryptocurrency.”

GD: “Het is binnen de politie vrij uniek dat verschillende disciplines permanent in één team werken. Een goede zet, want zo kunnen we meer complexe zaken oppakken. Het werken in het cybercrimeteam is sowieso heel dynamisch. Als technisch specialist ga ik mee naar invallen en doorzoekingen om digitale gegevensdragers veilig te stellen. Verdere analyse van die apparaten doe ik in het lab, en ik ben ook in de tapkamer bezig. Daarnaast maak ik proces-verbaal op. Geen dag is hetzelfde.”

JW: Het aantal gevallen van BEC stijgt snel en jullie geven zelf aan dat de capaciteit van het team beperkt is. Welke zaken selecteren jullie en wat laat het team over aan collega’s?

GD: “We kijken allereerst of er een compromise is geweest; als een organisatie of een persoon gehackt is maakt dat de zaak serieuzer. Maar we onderzoeken alle varianten, want bij CEO-fraude hoeft er niet per se sprake te zijn van een hack. Criminelen kunnen gebruikmaken van een gespoofed e-mailadres en zich zo voordoen als de directeur.”

AvG: “We proberen zaken op basis van complexiteit te beoordelen en op die manier te bepalen op welk niveau een zaak thuishoort. In principe is de basispolitiezorg voldoende toegerust om onderzoeken naar cybercrime uit te voeren. De meer ingewikkelde en uitgebreide zaken komen vaak bij ons terecht. Het uitvoeren van strafrechtelijke onderzoeken naar cybercrime – zeker in internationale context – is nu eenmaal tijdrovend.”

JW: Wij zien bij KnowBe4 dat internetcriminelen steeds vernuftiger worden. Constateren jullie bepaalde trends?

GD: “Uit open bronnen blijkt dat de meeste BEC-aanvallen zijn gericht op de bouw- en industriesector. Ook stichtingen en verenigingen lijken relatief vaak slachtoffer te worden en bij grote bedrijven gaat het in een kwart van de gevallen om non-profitorganisaties. Openbare bronnen laten ook zien dat een aantal Nigeriaanse criminele groeperingen zich toegelegd heeft op CEO-fraude. Deze groeperingen functioneren haast als professionele bedrijven, functies en processen zijn gescheiden.”

‘Iets dat de systeembeheerder erbij doet’

JW: Is het een taak van het Haagse cybercrimeteam om bedrijven en organisaties bewuster te maken van de gevaren van BEC?

AvG: “We proberen meer bewustzijn te kweken, onder meer door het beeld van BEC breder te maken dan alleen wat we in zaken voorbij zien komen. Publiek-private samenwerking is daar ook een onderdeel van. Zo nemen we deel aan The Hague Security Delta, samen met de gemeente Den Haag, de TU Delft en diverse bedrijven.”

JW: Toch gaat het nog vaak mis. Welke adviezen geven jullie bedrijven en organisaties om BEC te voorkomen?

GD: “Op technisch vlak raad ik individuen altijd aan om tweefactorauthenticatie te gebruiken. Dat klinkt vanzelfsprekend, maar zien we nog steeds veel te weinig gebeuren. Voor organisaties geldt dat er bij het overmaken van grote geldbedragen altijd een tweede verificatie – fysiek of per telefoon – moet zijn en dat die werkwijze opgenomen moet zijn in de bedrijfsprocessen. In veel gevallen van CEO-fraude had het gevaar op die manier afgewend kunnen worden. Het zijn allebei geen revolutionaire adviezen en ik heb het idee dat ik mensen constant hetzelfde aan het vertellen ben, maar er valt echt nog een wereld mee te winnen. Ook technische informatie zoals logbestanden die wij nodig hebben voor forensisch onderzoek kunnen organisaties niet altijd aanleveren. Bij veel ondernemingen is cybersecurity een ondergeschoven kindje, iets dat de systeembeheerder erbij doet. Dat kan gewoon niet meer in deze tijd.”

AvG: “Het is hoe dan ook belangrijk dat organisaties aangifte doen. Uit recent onderzoek blijkt dat op dit moment slechts 13 procent van alle internetcriminaliteit in Nederland bij de politie wordt gemeld. Dat maakt dat ook ons beeld van BEC niet zo volledig is als we zouden willen.”

JW: Hoe zit het intern met het bewustzijn; is er binnen de politie voldoende aandacht en capaciteit voor het aanpakken van cybercriminaliteit en BEC in het bijzonder?

AvG: “In cybercrime en gedigitaliseerde criminaliteit moet de politie de komende jaren echt blijven investeren. BEC is misschien niet zo zichtbaar als een steekpartij in de wijk, maar heeft toch grote impact op de slachtoffers. Er is capaciteit en specialistische kennis nodig om dit soort criminaliteitsvormen effectief te bestrijden. We zullen moeten samenwerken met private partners zoals cyberbeveiligers om ons eigen beeld te complementeren met wat zij zien gebeuren. Binnen de politie wordt op nationaal niveau al goed samengewerkt, maar ook dat vergt continue investeringen. De samenleving blijft in rap tempo digitaliseren en uiteindelijk moet iedere politiemedewerker de ‘digitaal is normaal’-mindset hebben.”