De Vereniging van Nederlandse Gemeenten (VNG) ontvangt de laatste tijd ‘opvallend veel’ meldingen van CEO-fraude, of pogingen daartoe. In de afgelopen twaalf maanden zijn er zo’n zestig meldingen van deze Vorm Van Fraude gedaan. Voor welk bedrag daarbij aan schade is aangericht, is onbekend.
Dat vertelt VNG-woordvoerder Judith Wentzler van de Informatiebeveiligingsdienst tegenover dagblad Trouw.
Nederlandse gemeenten massaal slachtoffer van CEO-fraude
De laatste tijd horen we steeds vaker dat gemeenten het slachtoffer zijn van CEO-fraude. Dat is een vorm van fraude waarbij iemand zich voordoet als een hooggeplaatste medewerker, veelal de algemeen directeur of CEO van een bedrijf, en doet alsof een slachtoffer een factuur heeft openstaan. Hij voert de druk dusdanig op om zijn doelwit te overtuigen om de rekening zo snel mogelijk te betalen, bijvoorbeeld door te dreigen met extra kosten als de factuur niet op korte termijn wordt voldaan. Eenmaal betaald kan het slachtoffer fluiten naar zijn centen.
In mei overkwam het Meierijstad. De Brabantse gemeente kreeg van ‘hooggeplaatste functionarissen’ het verzoek om een spoedbetaling uit te voeren. Omdat de opdracht van binnen de gemeentelijke organisatie kwam, boekte een ambtenaar een bedrag van 37.200 euro over naar het betreffende bedrijf. Toen de alarmbellen afgingen, was het kwaad al geschied.
Eerder deze maand vertelde de gemeente Alkmaar dat ze vóór de zomervakantie een rekening van 236.000 euro had ontvangen. Nadat het geld was overgemaakt, bleek dat het om een spookfactuur ging. Onderzoek wees uit dat er geen sprake was van interne fraude, maar dat de gemeente door de druk versneld was overgegaan tot betalen. De gemeente heeft aanvullende maatregelen aangekondigd om de bedrijfsprocessen te verbeteren.
In Krimpen aan den IJssel wisten oplichters eerder dit jaar ruim 176.000 euro buit te maken met CEO-fraude.
VNG ontvangt tientallen meldingen van CEO-fraude
Meierijstad, Alkmaar en Krimpen aan den IJssel zijn niet de enige gemeenten waar het mis ging. Het afgelopen jaar kwamen er bij de Informatiebeveiligingsdienst van de VNG ongeveer zestig meldingen binnen van (poging tot) phishing, waarvan CEO-fraude het grootste deel uitmaakte. Exacte cijfers over de omvang van deze vorm van fraude zijn er niet. “Het schadebedrag varieert, net als de vorm van de fraude”, zo zegt VNG-woordvoerder Judith Wentzler tegenover Trouw.
De VNG ziet dat gemeenten worstelen met CEO-fraude. Doordat oplichters zich vaak voordoen als een lid van de directie, is de druk om versneld te betalen groot. Bovendien is de inhoud van dergelijke e-mails vertrouwelijk en zien ze er levensecht uit. “Dit is dan ook geen geval van falende techniek, maar een gevolg van menselijk handelen, waarbij bestaande procedures niet worden gevolgd”, aldus Wentzler.
Met deze tips kun je CEO-fraude tegengaan
Cybersecurityexpert Joe Shenouda ziet dat het aantal slachtoffers van CEO-fraude toeneemt en adviseert bedrijven en overheden om maatregelen te nemen. Het aanbieden van trainingen voor het eigen personeel is een goede start, maar niet afdoende. “De trainingen die overheden doen, gaan vooral over het herkennen van deze fraude. Maar er wordt te weinig naar het eigen werkproces gekeken.”
Shenouda wijst erop dat er vaak een grote afstand is tussen de directeur van een organisatie en zijn medewerkers. Als een directeur meer betrokkenheid toont met de werkvloer, verkleint hij de kans om het slachtoffer te worden van CEO-fraude. De cybersecurityspecialist raadt aan om facturen te printen en door de CEO te laten ondertekenen met een fysieke handtekening.
Marit Wensink, privacy- en informatiebeveiligingsadviseur bij M&I/Partners, wijst erop hoe gevaarlijk een e-mail in praktijk kan zijn. “We sturen de hele dag waanzinnig veel informatie door via e-mail. Je krijgt zoveel informatie binnen dat het lastig kan zijn om echt van nep te onderscheiden. Valse e-mails worden ook steeds geraffineerder en lijken echter”, waarschuwt ze tegenover Trouw.
