Verschillende beveiligingsorganisaties waarschuwen voor een flinke toename van CxO-fraude. Deze vorm van phishing, waarbij cybercriminelen zich voordoen als Directeur (CEO) of Financieel Directeur (CFO), wordt de afgelopen periode steeds meer toegepast en maakt bovendien ook steeds meer slachtoffers.
Het startpunt van CxO-fraude is vaak een phishing e-mail die (haast) niet van echt te onderheiden is. Een externe partij (de cybercrimineel) doet zich voor als CEO of CFO en verstuurd de e-mail zonder link maar met het verzoek om je telefoonnummer terug te mailen. Doordat er geen link aan de e-mail is toegevoegd wordt dit bericht ook minder snel gedetecteerd als spam of phishing en daardoor ook minder vaak geblokkeerd. Cybercriminelen proberen op deze wijze het (mobiele) telefoonnummer van bijvoorbeeld iemand van de financiële administratie te achterhalen en nemen vervolgens contact op via WhatsApp om bijvoorbeeld een betaling te doen of om andere vertrouwelijke informatie te achterhalen. Deze communicatie vindt vaak buiten de bedrijfssystemen om plaats en is daardoor moeilijker te detecteren en te voorkomen.
CxO-fraude vindt veel plaats bij Nederlandse bedrijven. Maar liefst 92% van de bedrijven in Nederland heeft regelmatig te maken met dergelijke fraude-pogingen terwijl dit percentage wereldwijd op 75% blijft steken. Vooral Nederlandse bedrijven lopen dus een verhoogd risico op CxO fraude.
Het bekendste voorbeeld van CEO-fraude in Nederland vond plaats bij de bioscoopketen Pathé waardoor het bedrijf een schade leed van 19 miljoen euro. Een staalbedrijf in Rotterdam werd voor 11 miljoen euro oplicht nadat een fraudeur zich voordeed als de topman van het Duitse moederbedrijf en recent werd bekend gemaakt dat een administratiekantoor 1 miljoen euro zou hebben overgemaakt naar fraudeurs terwijl zij dachten te maken hebben met één van de bestuurders van een ontwikkelingsmaatschappij in Zoetermeer.
Voorkomen van dergelijke fraude is best lastig. Het gaat om een gerichte aanval waarbij de cybercriminelen vaak veel geduld hebben om de informatie (of geld) in handen te krijgen. Toch zijn er wel een aantal maatregelen die je kunt treffen om de kans op (financiële) schade door CxO-fraude te voorkomen:
- Maak gebruik van het vierogenprincipe en wijk hier niet van af.
Bij betalingen boven een bepaald bedrag zijn er altijd twee personen bij betrokken zodat zij elkaar kunnen controleren.
- Controleer wijzigingsaanvragen
Vraagt iemand om een betaalrekening van een organisatie aan te passen? Controleer dit altijd bij de organisatie zelf via de bij jou bekende contactgegevens.
- Blijf vasthouden aan gemaakte afspraken en procedures
Zorg ervoor dat er intern duidelijke afspraken worden gemaakt hoe er bijvoorbeeld omgegaan moet worden met betalingen of betaalverzoeken. Communiceer deze afspraken intern naar alle betrokken medewerkers (en dus ook nieuwe collega’s).
- Blijf alert
Controleer altijd het e-mailadres van de afzender. Controleer de e-mail op spelfouten, vreemde zinsopbouw of andere opvallende zaken. Veel kleine afwijkende zaken kunnen het signaal zijn voor een frauduleuze e-mail.
- Spamfilter en phishingfilter
Ondanks dat niet alle verkeerde e-mailberichten worden tegengehouden is het toch raadzaam om je spam- en phishing filter goed in te stellen en deze ook regelmatig aan te passen.
- Praat erover
Een open bedrijfscultuur is belangrijk. Dat iemand een verdachte e-mail heeft geopend kan gewoon gebeuren. Dit moet dan vooral worden gemeld aan de ICT-afdeling of ICT-partner zonder dat iemand belachelijk wordt gemaakt. Naming & Shaming werkt hierin echt averechts.
CxO-fraude kan dus bij ieder bedrijf gebeuren en het kan dus ook iedere medewerker gebeuren.
Twijfel je over een bericht? Laat dan iemand met je meelezen, overleg met je ICT-afdeling of ICT-partner. Ook in geval van CxO-fraude is voorkomen echt veel beter dan genezen.
