CEO-fraude blijft toenemen, zowel in aantallen als wat betreft de omvang. Ook CFO’s lopen gevaar. Hoe groot is de kans dat zij ermee te maken krijgen? En, hoe dit te voorkomen? “Gedrag is de sleutel.”
‘Hoi Ard, We moeten een bedrag van € 18,975 naar Engeland sturen. Welke informatie heb je nodig om het voor elkaar te krijgen? Dank je, Erik.’
Ard Laan, financieel manager bij DearBytes, een in cybersecurity gespecialiseerd IT-bedrijf, kreeg in de zomer van vorig jaar een mailtje van Erik, zijn baas. Zo op het eerste gezicht een gewoon berichtje. Toch vielen hem al snel een aantal dingen op. “Als je bij een bedrijf als dit werkt ben je natuurlijk extra alert.” Zijn oog viel onder meer op het merkwaardige e-mailadres van de afzender: ceoexecs@naver.com en op de afwijkende voettekst. Bovendien: deze manier van communiceren was binnen DearBytes niet gebruikelijk.
Van de Beek: “Vaak maken de oplichters gebruik van de gezagsverhoudingen.”
Het verzoek lijkt echt, maar is fake
Waarschijnlijk een poging tot oplichting, vreesde Laan – CEO-fraude om precies te zijn. Een ‘CEO’ of een (andere) ‘manager’ van een bedrijf vraagt een van zijn medewerkers via de mail geld over te maken naar een bepaalde, vaak buitenlandse bankrekening. Het verzoek lijkt echt, maar is fake, afkomstig van oplichters. Om de identiteit van de afzender en diens werkwijze te achterhalen, speelde DearBytes het spel mee. De mail was verzonden vanuit de Nigeriaanse hoofdstad Lagos door ene Gabriel Oyeyemi, ontdekte het bedrijf. Het e-mailadres van Laan en de gegevens van DearBytes waren waarschijnlijk van internet geplukt. Na enkele berichten over en weer, stopte het e-mailverkeer. Kennelijk roken de fraudeurs onraad.
CFO’s worden regelmatig het slachtoffer
Laan trapte er niet in – een in het bestrijden van cybercrime gespecialiseerd bedrijf proberen op te lichten middels cybercrime is ook niet echt handig. Maar vaak lukt het wel. Ook CFO’s en andere financiële managers worden regelmatig slachtoffer, zowel indirect – het betalingsverzoek is zogenaamd van de CFO afkomstig – als direct. Bij dat laatste ontvangt de CFO zelf een verzoek geld over te maken, bijvoorbeeld van de CEO of vanuit de holding. Hoeveel gevaar lopen financial executives? En hoe is deze fraude te voorkomen?
Al in 2016 raakte CEO-fraude in zwang
Vooropgesteld: spiksplinternieuw is CEO-fraude niet meer. Al in 2016 raakte deze vorm van oplichting in Nederland in zwang. Maar het aantal meldingen en de omvang van de schade neemt nog steeds toe, van respectievelijk 135 en 650.000 euro in 2016 naar 255 en 2,8 miljoen euro vorig jaar. Die cijfers zijn afkomstig van de Fraudehelpdesk, een organisatie die burgers en bedrijven wil behoeden voor oplichtingspraktijken. Ze vormen waarschijnlijk slechts het topje van de ijsberg. Lang niet alle gevallen worden gemeld. Dat gold ook voor de CEO-fraude bij bioscoopketen Pathé, die onlangs alle media haalde en waarmee liefst 19 miljoen euro was gemoeid.
Werkelijke aantal gevallen van CEO-fraude ligt veel hoger
Het werkelijke aantal gevallen van CEO-fraude ligt dan ook waarschijnlijk nog veel hoger. “Misschien wel tien keer zo hoog,” schat Tanya Wijngaarde, woordvoerder bij de Fraudeheldesk. “Veel getroffen bedrijven en organisaties vinden het toch gênant om ermee naar buiten te komen.” Hoe vaak er CFO’s bij deze gemelde gevallen betrokken waren, weet Wijngaarde niet. Dat wordt niet apart geturfd. Wel werd eind vorig jaar bekend dat er zeker 1.300 Nederlandse CFO’s op een lijst staan van hackersgroep London Blue. Deze internationale bende is gespecialiseerd in CEO-fraude. De meeste van deze CFO’s werken voor banken en financiële dienstverleners, maar ook voor ICT-bedrijven, retailers, voedingsproducenten en logistieke ondernemingen.
De CFO van Pathe ontving mails van de CEO van het Franse moederbedrijf met daarin het verzoek geld over te maken naar een bedrijf in Dubai in verband met een overname.
In overleg met CEO voldeed CFO aan het verzoek
Ook bij de fraude bij Pathé was een CFO doelwit. Hij ontving mails van de CEO van het Franse moederbedrijf van Pathé met daarin het verzoek geld over te maken naar een bedrijf in Dubai in verband met een overname. Deze aankoop was vertrouwelijk en mocht niet uitlekken. Vandaar dat het moederconcern had besloten de financiering via Nederland te laten lopen. In overleg met de Nederlandse CEO voldeed de CFO aan de verzoeken. Nadat de fraude aan het licht kwam, werden beide bestuurders ontslagen. De CFO spande daarop een kort geding aan tegen Pathé.
Rechtbank verklaarde ontslag ongegrond
De rechtbank verklaarde het ontslag ongegrond. Er was geen sprake van verwijtbaar handelen; ook het moederbedrijf had zijn zaakjes niet op orde. De CFO kon bijvoorbeeld zomaar miljoenen euro’s lenen uit de cashpool van de holding zonder te melden waarvoor dit nodig was. Wel kreeg Pathé toestemming de arbeidsrelatie te beëindigen. Een meer kritische houding was op zijn plaats geweest, luidde het vonnis.
Voorkomen en herkennen is essentieel
In de Pathé-casus was de CFO het doelwit. Dat is vrij uitzonderlijk. Meestal krijgt de financiële topman indirect met CEO-fraude te maken, bijvoorbeeld doordat een van zijn medewerkers een vreemd betalingsverzoek heeft ontvangen. Het voorkomen en herkennen van deze vorm van oplichting is voor de CFO en zijn team dan ook essentieel.
Oplichters maken gebruik van gezagsverhoudingen
Maar, hóe is CEO-fraude te herkennen? Vaak maken de oplichters gebruik van de gezagsverhoudingen. “De afzender zit hoog in de pikorde, de medewerker die het betalingsverzoek ontvangt, werkt ergens ver van hem vandaan. Rechtstreeks contact opnemen wordt vaak niet op prijs gesteld, dat wordt zelfs als ongepast ervaren. Je doet wat er van je wordt gevraagd,” schetst Martijn van de Beek. Hij is directeur van Hoffmann Bedrijfsrecherche, een bedrijf dat regelmatig wordt ingeschakeld bij CEO-fraudes, ook preventief.
De oplichter benadrukt dat vertrouwelijkheid van groot belang is
De zogenaamde CEO benadrukt dat vertrouwelijkheid van groot belang is. De opdracht mag niet gedeeld worden met collega’s. Ook wordt de medewerker de hemel in geprezen. Hij is uitverkoren vanwege zijn ‘uitzonderlijke’ kwaliteiten; de bal ligt nu bij hem, híj bepaalt of de ‘geheime’ – overname, investering – slaagt. En er is haast geboden. Van de Beek: “Het bedrijf is bijvoorbeeld beursgenoteerd, de transactie is koersgevoelig, er bestaat gevaar voor uitlekken. Of er zijn harde deadlines: het geld moet dan en dan binnen zijn, anders gaat de deal niet door.”
Valse e-mails bieden zelf vaak aanknopingspunten
Daarnaast bieden de valse mails zelf vaak aanknopingspunten: het adres klopt niet, of beter gezegd: niet helemaal, er staat bijvoorbeeld een letter verkeerd. Vaak mankeert er iets aan het taalgebruik: er zitten fouten in de tekst – een vreemd lidwoord of een rare spelfout. Soms ook is het taalgebruik té goed. Een medewerker van een klant van Hoffmann kreeg bijvoorbeeld een betaalverzoek uit Duitsland in foutloos Nederlands. Dat wekte zijn argwaan; die bleek terecht.
Bedrijven trekken pas aan de bel als het te laat is
Vaak trekken bedrijven bij CEO-fraudes pas aan de bel als al te laat is. Goede afspraken kunnen dit grotendeels voorkomen. Bijvoorbeeld de afspraak om nooit grote bedragen over te boeken op basis van een telefoontje of e-mail. Zorg dat medewerkers sowieso alert zijn op verzoeken om grote sommen over te maken, helemaal als dit geld naar het buitenland moet. Wordt er vaker een grote overboeking gedaan, spreek dan procedures af over hoe een opdracht gecheckt kan worden. Bij grote bedragen of twijfel de directe leidinggevende betrekken, is sowieso raadzaam. En minstens zo belangrijk: dat iedereen zich aan die afspraken houdt.
Wetzer: “Het gaat vaak fout aan de menskant.”
Het gaat vaak fout aan de menskant
Dat laatste is allerminst vanzelfsprekend, weet Inge Wetzer. Zij is sociaal psycholoog cybersecurity & compliance bij Hoffmann en speciaal aangetrokken omdat protocollen en het vergroten van het bewustzijn volgens het adviesbureau vaak niet toereikend zijn om dit soort fraudes te voorkomen. Wetzer: “We krijgen hier vaak de vraag: ‘Wij hebben uitstekende systemen en procedures en toch gaat het mis. Hoe kan dat?’ Dat is niet zo vreemd. Het gaat vaak fout aan de menskant. Je kunt alle financemedewerkers wel een awareness-training geven. Maar dat is na een paar dagen weer uitgewerkt. Kennelijk zijn er redenen om je er niet aan te houden.”
Gedrag: dat is waar het om draait bij effectieve bestrijding
Ze geeft een voorbeeld: “We weten inmiddels allemaal dat appen in de auto niet mag. En toch gebeurt het. Drie keer per week sporten is goed voor je, weten we ook. En toch zijn er veel mensen die dat niet doen.” Gedrag: dat is waar het om draait bij effectieve bestrijding van CEO-fraude en andere vormen van cybercrime, analyseert Wetzer. En gedrag wordt bepaald door bewustzijn, motivatie en de gelegenheid.
Helder motief om procedures te omzeilen
Bij CEO-fraude is er vaak een helder motief om de procedures te omzeilen: de ‘baas’ vraagt het; sterker nog: hij doet een klemmend beroep om buiten de regels om handelen, in een hoger belang, dat van de organisatie. De hiërarchische kloof is zo groot dat de medewerker het niet in zijn hoofd haalt om de ‘baas’ te bellen. Zo is de cultuur nu eenmaal.
Vier ogen-principe met voeten getreden
Voor wat betreft de gelegenheid: kennelijk kan de medewerker het geld gewoon overmaken. Kennelijk is hij of zij hiertoe geautoriseerd en wordt het vier ogen-principe met voeten getreden. Is dit gedrag te sturen? Zeker, meent Wetzer. “Door te kijken wat de oorzaak is. Er kan bijvoorbeeld sprake zijn van een angstcultuur. Maar het kan ook zeer efficiënt zijn om alle finance-medewerkers in een workshop zonder de CFO onderling met elkaar te laten bekijken welke procedures nu wel en niet werken.”
Preventieve maatregelen van CFO’s dun gezaaid
Een panacee is er niet, meent de psycholoog. “Wat de beste remedie is, verschilt per organisatie. Om daarachter te komen moet je met de medewerkers in gesprek.” CFO’s die preventieve maatregelen nemen tegen CEO-fraude zijn echter dun gezaaid, weet Wetzer. “Informatiebeveiliging is vaak de verantwoordelijkheid van de Chief Information Security Officer (CISO). Die valt onder de CFO. Als de CISO bij zijn baas aanklopt, krijgt hij vaak te horen: ‘Bij ons zal het zo’n vaart niet lopen.’” Een misvatting, aldus Wetzer. “Dat dachten ze bij al die getroffen bedrijven ook.”
Lees ook
CEO-fraude kost CFO de kop, Pathé voor 19 miljoen opgelicht (hoe doorziet u CEO-fraude?)
Mocht de CFO van Pathé worden ontslagen?
Dit gaat om enorme bedragen en dat baart zorgen, vooral voor grote organisaties. Zowel de techniek, beleid, procedures als de menselijke kant van beveiliging moeten worden geoptimaliseerd.