Uit onderzoek van Allianz Trade blijkt dat in 2023 11% van alle externe fraudegevallen waar Nederlandse bedrijven slachtoffer van werden CEO-fraude was. Van alle fraudeclaims die binnenkwamen bij verzekeraar Allianz was de helft hoger dan € 50.000. Maar wat houdt CEO-fraude in en hoe kunt u zich ertegen wapenen?
Diefstal door misbruik van vertrouwen
Stelt u zich eens voor; uw financiële medewerker logt op een maandagochtend in en heeft een email van u ontvangen met het verzoek om €40.000 over te maken naar een rekening. Maakt hij direct het geld over of controleert hij dit toch nog even?
Deze en nog veel varianten vallen onder de noemer CEO-fraude. Het betreft een vorm van digitale criminaliteit die specifiek misbruik maakt van het vertrouwen en managementrollen binnen uw organisatie.
Hoe dringt de aanvaller bij uw organisatie binnen?
Meestal hacken oplichters uw mailbox of die van een manager uit uw bedrijf. Het kan ook dat de aanvaller een domein met spelfout aanmaakt. Hierbij maakt de oplichter een e-mailadres aan met een spelfout, het e-mailadres lijkt erg op die van u, maar is dus in bezit van de aanvaller. De aanvaller kan dan opdrachten tot betaling uitzetten binnen uw organisatie, in de hoop dat uw medewerker de spelfout in het e-mailadres niet ziet en het geld overmaakt.
Een andere veelgebruikte methode is social engineering. Met social engineering maken kwaadwillende gebruik van het vertrouwen van uw medewerkers, op deze manier proberen zij toegang te krijgen tot uw bedrijfsgegevens of systemen. Deze methode vertrouwt meer op de goedgelovigheid van uw medewerkers dan op het hacken van de technologie.
Hoe voorkomt u dat u slachtoffer wordt van CEO-fraude?
Om CEO-fraude te voorkomen is het belangrijk dat uw medewerkers goed getraind zijn in het herkennen van fraude. Vaak vormen mensen de zwakste schakel als het gaat om informatiebeveiliging, daarom zijn Awarenesstrainingen belangrijk. Als medewerkers niet op de hoogte zijn van de risico’s, kunnen ze onbedoelde fouten maken waardoor datalekken en cyberaanvallen sneller voorkomen.
Met een phishingcampagne test u hoe kwetsbaar uw organisatie is voor fraude. Vaak wordt er een situatie gecreëerd die lijkt op een werkelijke van uw bedrijf, zoals een inlogpagina, die bijvoorbeeld via mail naar uw medewerkers wordt verspreid.
Er zijn ook een aantal organisatorische maatregelen die u kunt nemen om CEO-fraude te voorkomen:
- Zorg ervoor dat toestemming voor transacties niet of niet geheel via de email verlopen, maar deels fysiek, telefonisch of via een beveiligd platform.
- Voer een transactie altijd uit via het vier ogen principe, zodat deze altijd dubbel gecontroleerd wordt.
- Zorg ervoor dat procedures omtrent transacties altijd worden gevolgd, ook bij kleine bedragen.
Het hoeft niet veel geld en tijd te kosten om de bovengenoemde maatregelen te nemen. In alle gevallen valt de investering te verwaarlozen als u het vergelijkt met de schade van een succesvolle aanval. Het is altijd beter om te voorkomen, dan slachtoffer te worden.
Dit artikel is geschreven door Wilbert Hilhorst. Heeft u hulp nodig of vragen? Neem dan vrijblijvend contact met hem op.