CEO-fraude is geen technisch hoogstandje. De aanvaller heeft een paar uur op LinkedIn doorgebracht, weet wie uw CFO is, wie de financieel medewerkers zijn en wanneer de directie op reis is. Daarna stuurt hij vanuit een look-alike-domein of een gehackt mailaccount een verzoek dat plausibel klinkt. De gemiddelde geslaagde CEO-fraude in Nederland kost een organisatie tussen de 30.000 en 250.000 euro.
Het patroon
Een korte mail. "Ben in een vergadering, kun je dit voor me regelen?" Soms gevolgd door een pdf met instructies. De ontvanger is vrijwel altijd iemand met betalingsbevoegdheid: financieel medewerker, controller, soms een directiesecretaresse. De druk komt uit autoriteit en tempo. Geen tijd voor vragen, geen ruimte voor twijfel, en vooral: "houd dit even tussen ons".
Bankgegevens-wijzigingsverzoek
Een gevaarlijke variant: niet een nieuwe betaling, maar een wijziging van bestaande crediteurgegevens. "Onze rekening is per direct gewijzigd, kunnen jullie vanaf nu naar IBAN X overmaken?" Komt vaak vanuit een gehackte leverancier-mailbox, dus zonder afwijkende afzender. De volgende reguliere betaling gaat dan naar het foute adres en niemand merkt het tot de echte leverancier reclameert.
Vier-ogen op betalingen
De technische maatregel is een vier-ogen-principe in de bankomgeving. Elke betaling boven een drempel (bijvoorbeeld 5.000 euro) en elke crediteurmutatie vereist een tweede goedkeurder. ABN, ING en Rabo bieden dit standaard aan in zakelijk internetbankieren. Voeg daaraan toe: terugbel-protocol bij IBAN-wijzigingen. Bel de leverancier op het nummer in uw eigen administratie, niet op het nummer in de mail.
LinkedIn-hygiene
Aanvallers oogsten doelwitten op LinkedIn. Functietitels als "Finance medewerker bij X" of "Directiesecretaresse bij Y" zijn een waarschuwing. Beperk niet wat mensen op LinkedIn zetten, maar zorg dat ze weten dat ze daar zichtbaar zijn voor aanvallers. Train deze groep specifiek op CEO-fraude-scenario's.
Finance-training
Generieke phishing-training mist het punt. Wie in finance werkt, moet specifiek herkennen: de spoed-mail, het IBAN-wijzigingsverzoek, de "vertrouwelijke" directieoverboeking. PhishWise heeft hiervoor scenario-pakketten gericht op finance-rollen. Houd de simulatie kwartaalmatig en evalueer met de financieel medewerkers wat ze opviel en wat ze miste.
Wat te doen na een geslaagde fraude
Bel direct uw bank, doe aangifte bij de Politie en meld het bij Fraudehelpdesk. De eerste 24 uur zijn beslissend voor terugvorderen. Sommige banken kunnen overboekingen tijdelijk bevriezen als u snel meldt.
Verwant: Freelance Cybersecurity specialist, Freelance finance consultant.