Premier Mark Rutte heeft laten weten dat thuiswerken ook dit najaar de norm zal blijven. Goed nieuws voor internetcriminelen. Want thuiswerken maakt bedrijven extra kwetsbaar voor ceo-fraude, waarbij een oplichter zich voordoet als iemand met een hooggeplaatste functie binnen een bedrijf.
Vlak voor de zomer waarschuwden het Anti Money Laundering Centre (een samenwerking van het OM, de FIOD en de politie), de Nederlandse Vereniging van Banken en advies- en accountantsorganisatie PwC al voor een toename van ceo-fraude (whaling) door thuiswerken. Hoeveel extra gevallen er precies zijn, maakten de partijen niet bekend. ‘Deels omdat we daar vanuit de politie en de FIOD geen volledig beeld van hebben, deels omdat het aan de banken is om daar iets over te zeggen’, aldus Suzanne Visser van het Anti Money Laundering Centre in een uitzending op BNR.
Van de toename kijk ik niet op. Internetcriminelen buiten een gebrek aan communicatie uit. Hoewel de mogelijkheden voor virtueel contact goed zijn en in deze bijzondere periode extreem veel worden gebruikt, vindt sommige communicatie simpelweg niet plaats omdat medewerkers en leidinggevenden elkaar fysiek niet tegenkomen. Even bij de (financieel) directeur aankloppen of bij het koffieapparaat vragen naar ‘dat mailtje dat je net stuurde’ is er niet bij. En dat kan grote gevolgen hebben.
Criminelen lezen mee
‘Het klinkt misschien alsof je niet zo snel in een mailtje van de ceo of cfo zal trappen waarin gevraagd wordt om geld over te maken, maar weet dat deze cybercriminelen heel geraffineerd te werk gaan’, zegt Visser. ‘Ze kennen de bedrijven goed, weten hoe de ceo communiceert, weten soms ook dat er grote bedragen aan komen en kunnen zo heel mooi instappen in een proces dat al loopt.’ Het is precies die werkwijze waarmee internetcriminelen al een aantal jaar succes boeken. De meeste bedrijven worden geen slachtoffer van ceo-fraude door criminelen die met hagel schieten. Vaak worden firma’s specifiek op de korrel genomen en lezen kwaadwillende figuren al een tijdje mee met de e-mails die binnenkomen en verzonden worden. Dat lukt ze meestal door met een phishing-e-mail de inloggegevens van een medewerker te achterhalen.
Als een medewerker eenmaal valt voor een goed geschreven en getimede e-mail en een bedrag overboekt naar een (vaak buitenlandse) rekening, kan alleen door heel snel handelen de betaling nog gestorneerd worden via de bank. Maar ontdekking van fraude komt vaak te laat. Criminelen hebben het bedrag dan al doorgesluisd naar een andere rekening en hebben het soms al witgewassen. Aangifte doen is dan belangrijk, al was het maar om de volledige omvang van ceo-fraude in beeld te krijgen. Het overgeboekte geld krijgen bedrijven er vaak niet mee terug.
Kennis en training
Het vier-ogen-principe moet daarom ook worden toegepast nu Nederland massaal thuiswerkt. Een telefoontje naar de directeur bij twijfel, of naar de it-afdeling als een medewerker zich niet zo comfortabel voelt om rechtstreeks met de directeur in contact te treden, is essentieel om ceo-fraude in de kiem te smoren. Het is sowieso verstandig als verdachte e-mails makkelijk door medewerkers bij de it-afdeling kunnen worden gemeld via een vaste procedure. Daarnaast blijft kennis en training van groot belang. Blijf medewerkers, juist nu ze niet op kantoor zijn, met digitale modules trainen op het herkennen van phishing-e-mails en ceo-fraude. Dat beschermt niet alleen tegen oplichting, maar geeft de it-afdeling en directie ook een beter beeld van de risico’s die de organisatie nog loopt.
Jeffrey de Graaf, managing director KnowBe4