Ook CCV doelwit cybercriminelen: “Wees je bewust van de risico’s”

“Het was een gekke vraag, want we maken bijna nooit dit soort grote bedragen over naar het buitenland. De mail zag er ook niet uit als in de stijl van het CCV en er zat een taalfout in”, vertelt financieel manager Dennis de Jager van het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV). De organisatie die zich inzet voor onder meer het voorkomen van cybercrime, werd zelf het doelwit van cybercriminelen.

De boekhouding van het CCV kreeg een mail van fraudeurs die zich voordeden als CCV-directeur Patrick van den Brink. De vraag was wat voor gegevens nodig waren om een groot geldbedrag over te maken naar Engeland. Een van de boekhouders besloot langs te lopen bij de directeur en die vertelde helemaal geen mail te hebben gestuurd. Toen was gelijk duidelijk dat de mail niet in de haak was. Het was de derde keer in de afgelopen twee jaar dat cybercriminelen een poging waagden om gegevens te vergaren met als doel om het CCV geld afhandig te maken.

CCV-adviseur Stefan Molleman kijkt er niet van op dat cybercriminelen zelfs een organisatie als het CCV benaderen. “Ik denk dat criminelen daar geen rekening mee houden. Die letten niet op het type organisatie.” In het geval van het CCV gaat het om CEO-fraude. Hierbij ontvangt de financiële administratie van een bedrijf een e-mail van de baas. Bij grote organisaties gaat het om bijvoorbeeld de Chief Executive Officer (CEO). Deze draagt op een fors bedrag over te maken naar een buitenlandse rekening. Soms kan daarbij ter controle van de gegevens een advocatenkantoor worden gebeld, maar die zit in het complot.

“De nauwgezetheid waarmee criminelen te werk gaan verschilt per geval. Het kan zijn dat gewoon een standaard mailtje naar meerdere adressen wordt gestuurd, in de hoop dat iemand iets overmaakt. Veel vaker gaat het echter om georganiseerde gevallen waarbij er soms maanden vooronderzoek is gedaan. De structuur van een organisatie en tone of voice worden goed bestudeerd om de kans van slagen te vergroten”, legt Molleman uit. Dit doen de fraudeurs volgens de CCV-adviseur via publiek toegankelijke bronnen zoals LinkedIn. Volgens hem kunnen door middel van phishing ook vertrouwelijke gegevens worden buitgemaakt of door malware te installeren e-mailcorrespondentie worden gelezen. “Als je weet hoe de CEO met medewerkers communiceert en dat gebruikt in de mail naar de financiële administratie dan is dat veel effectiever. Dat is ook bij de Pathé-fraude gebeurd.” De algemeen en financieel directeur van de Nederlandse tak van deze bioscoopketen kregen vorig voorjaar een e-mail van een fraudeursbende. Pathé werd op deze manier voor 19 miljoen euro opgelicht.

Volgens CCV-manager Dennis de Jager moeten bedrijven en organisaties vooral oppassen in perioden van drukte. “Er is bijvoorbeeld een piek in de drukte tijdens het opstellen van de jaarrekening. Dan ben je minder alert en kan een valse mail er tussendoor glippen.” Hij vervolgt: “Je ziet ook dat mensen de neiging hebben van afgesproken procedures af te wijken zodra de vraag van de directeur komt. De criminelen spelen daar slim op in.”

Stefan Molleman bevestigt dit. “CEO-fraude richt zich vaak op emotionele aspecten. Zo wordt vaak gebruik gemaakt van tijdsdruk, geheimhouding en hiërarchie.” Om deze vorm van fraude tegen te gaan moet een bedrijf volgens hem niet alleen kijken naar organisatorische aspecten, maar ook aandacht besteden aan de emotionele kant. “Laatst was ik bij een organisatie met een meldpunt. Er werd een taart verloot onder iedereen die een dreiging meldde. Dat is een goed initiatief.”

CEO-fraude komt overigens steeds vaker voor. Uit cijfers van de Fraudehelpdesk blijkt dat in 2016 135 meldingen werden gedaan en vorig jaar waren dat er 255. De schade bedroeg 650.000 euro in 2016 en vorig jaar 2,8 miljoen euro. “Bij het midden- en kleinbedrijf is deze vorm van fraude nog beperkt, maar we zien wel dat die stijgt. Ze worden minder snel slachtoffer omdat de organisatie vaak kleiner is, de scheidingen in functies minder groot is en de directeur vaak nog achter de knoppen zit bij betalingen”, vertelt Molleman.

Dit geldt ook bij het CCV. De organisatie heeft driedubbele controle ingebouwd met als eindcontrole die van de directeur. Daarom lukt het volgens De Jager ook om dit soort fraude buiten de deur te houden. “Dit was een simpele mail aan een kleine organisatie. Het wordt al anders als het een geavanceerde mail is aan een grote organisatie. Dan moet je extra op je hoede zijn.” Het CCV heeft overigens in dit geval de mail van de criminelen wel beantwoordt, zodat de informatie die de oplichters vervolgens stuurden, kon worden doorgegeven aan de politie. “Het is bij fraude altijd belangrijk om aangifte te doen”, stelt De Jager.

Het CCV helpt organisaties op verschillende manieren om cybercrime te voorkomen. Bekijk hiervoor de dossiers ‘cybercrime’ op hetccv.nl en veiligondernemenbeginthier.nl voor meer informatie.