
CEO fraude – de Pathé zaak
CEO fraude. Het zou wel eens de meest succesvolle vorm van cybercrime kunnen zijn. En het is niet eens cybercrime. Het is oplichting. Met emailtjes.
Deze week kwam naar buiten dat de Nederlandse Pathé-directie er ingetuind is. 19 miljoen euro kwijt. Maar het wereldrecord staat bij mijn weten nog altijd op naam van de Belgische Crelan bank. In januari 2016 verloor de bank 70 miljoen euro aan CEO fraudeurs.
Wat is CEO fraude?
Het Pathé geval geeft perfect aan hoe CEO fraudeurs te werk gaan. Het start allemaal met een mailtje van de directeur. Er is sprake van een deal, het moet geheim gehouden worden, er is meestal haast bij, en er moet geld overgemaakt worden.
Vaak worden er vervolgens ook andere “betrouwbare” partijen bij betrokken, nog steeds via de e-mail, soms per telefoon, en wordt er net zolang op het slachtoffer ingewerkt tot deze betaalt.
Het gaat vaak om grote bedragen, dus vervalste documenten en handtekeningen kunnen deel uitmaken van de zwendel. Soms nemen de oplichters genoegen met een betaling, soms, zoals bij Pathé, gaan ze door zo lang ze kunnen.
En wanneer komt aan het licht dat er sprake was van oplichting? Als de echte directeur van zich laat horen. Meestal om eens te vragen hoe dat zit met al die uitgaven.
CEO fraude bij Pathé – Rode vlaggen
De opening
Oplichting volgt een redelijk vast patroon. Bij het opzetten van de val is het voor de fraudeur van het grootste belang om erachter te komen hoe lichtgelovig je bent. Zo’n eerste mailtje is dan ook meestal niet al te specifiek. In de Pathé zaak was het een simpel kattebelletje, dat op 8 maart in de inbox van de Nederlandse Pathé-directrice Dertje Meijer terechtkwam, zogenaamd van de directeur van het Franse hoofdkwartier Jérôme Seydoux:
Hi,
Have you been contacted by Mr. <naam> from KPMG this morning?
Regards,<directeur>
Sent from my Smartphone
Wie weet hoe vaak ze dat mailtje geprobeerd hebben.
Het mailadres van de afzender is allicht vals, en dat kun je ook zien. Het is heel goed mogelijk om het afzender e-mailadres van een mailtje aan te passen zodat het gelijk is aan die van de echte directeur. maar dat kan de fraudeur niet doen, want hij wil een communicatie opbouwen en moet dus zelf de antwoorden ontvangen. De afzender is dus een bestaand e-mailadres dat vaak lijkt op het e-mailadres van je directeur, maar NIET in je adresboek staat. Als je zou kijken wie de afzender is, dan is het tien tegen een niet eens een mailadres binnen je eigen organisatie.
Soms wordt het andere e-mailadres “verklaard” doordat de communicatie zo vertrouwelijk en geheim is, soms zelfs met de mededeling dat de directeur op vakantie is en dus vanaf zijn privé-mail contact opneemt. RODE VLAG: mail van buiten van iemand die claimt in je eigen organisatie te werken.
De follow-up
Als het contact eenmaal gelegd is wordt het al iets specifieker. Er wordt wat heen en weer gemaild en het slachtoffer wordt langzaam binnengehaald. In dit geval:
It’s regarding an important confidential file.
Can you take care of it now?
RODE VLAG: confidential. Natuurlijk mag je het met niemand delen.
Meijer reageerde en verzocht om de contactinformatie. De val werd geopend.
Well,
I need you to send me the bank position as of today also to my secure email ( <e-mail>) as well and I’ll send you all the details and instructions.
Inhalen
Toen de directrice de bankgegevens stuurde wisten de fraudeurs dat het gauw bingo zou zijn. Hier een highlight uit het volgende mailtje:
The transaction must remain strictly confidential. No one else must be made aware of it for now in order to give us an advantage over our competitors.
I and I alone will notify the affected parties in due time.
Please contact Mr <naam> from KPMG immediately via email <…> in order to proceed with the transfer of the first installment in the amount of 826,521 EUROS (same day value).
As a security measure for this type of confidential transaction, we must communicate solely via my personal email so that our discussions remain free of any risk of disclosure and to respect the transaction’s norm.
It is imperative that no references be made about this file, either orally or by phone, nor speak of this matter whit third parties. In accordance with the norms of KPMG, my personal email is to be the sole means of communication.
Het moet snel, er mag met niemand over gepraat worden, en het mag alleen via de persoonlijke e-mail van de directeur. Drie RODE VLAGGEN in 1 mailtje. Er zijn twee mogelijkheden hier:
- CEO fraude
- Een shady deal van je eigen directeur.
In beide gevallen: stront aan de knikker.
En vanaf daar ging de mailwisseling verder, en het overmaken van verschillende tranches ook. Op 27 maart was in totaal 19.244.304,00 euro overgemaakt. Op 28 maart kwamen er vragen uit Frankrijk over de grote uitgaven, en na een telefoontje werd duidelijk dat Meijer opgelicht was.
Meijer en haar financieel directeur Edwin Slutter werden op staande voet ontslagen. Slutter startte een rechtszaak en zo kwam de fraude in het openbaar.
Hoe groot is CEO fraude?
Behoorlijk groot.
CEO fraude en ransomware lijken op dit moment de twee cyberverschijnselen die het meeste schade aanrichten. Hoe groot CEO fraude daadwerkelijk is weten we niet. Het vermoeden bestaat dat dergelijke schade uit angst voor negatieve publiciteit vaak onder de pet wordt gehouden. Wel weten we dat er vaak grote bedragen worden buitgemaakt.
Dat overkomt mij niet…
Multinationals, maar ook overheden en kleine bedrijven worden geraakt.
Mijn favoriete voorbeeld is hoe de man in een familiebedrijfje een brief krijgt van zijn CEO – zijn vrouw dus – met het verzoek om geld over te maken. “Ik zou er zo ingetuind zijn, maar mijn vrouw schrijft normaal nooit zulke vriendelijke mails…”
CEO fraude is heel persoonlijk. De fraudeurs zijn ervaren en passen hun communicatie op jouw situatie aan. Ze bouwen het rustig op, of ze voeren de druk op, net wat ze nodig hebben om je maximaal te beïnvloeden. Als je vervolgens niet weet dat dit soort bendes bestaan, kun je dan met zekerheid zeggen dat het jou nooit zou overkomen?
Gewaarschuwd ben je in ieder geval. En dat is het begin van de oplossing.
Wat doen we eraan?
De partijen die er intrappen hebben, naast misschien goedgelovigheid, twee problemen. Het kleine probleem is onwetendheid. Als je niet weet dat deze vorm van oplichting bestaat val je er makkelijker voor. Het grote probleem is een slecht betalingsproces.
Een directeur die via een mailtje een CFO of onderdirecteur de opdracht geeft om grote sommen geld over te maken: dat zou in jouw bedrijfsproces onmogelijk moeten zijn. En als het al kan dan klinkt het niet meer dan logisch om een check in te bouwen: bel de directeur op om het te controleren.
Dat is alles wat er nodig is. Controle. En dat hoort standaard te zijn, vooral voor grote bedragen.
Due diligence heet dat in “goed” Nederlands.
Hoe is het met jouw bedrijfsprocessen gesteld? Weten nieuwe medewerkers (want die zijn het meest vatbaar) wat de procedures zijn, dat er even gecontroleerd moet worden, en dat jullie bedrijf geen schimmige zaakjes doet?
Als je het proces en de voorlichting geregeld hebt, dan zou CEO fraude voor jou geen probleem moeten zijn.
foto: Courtany
No Comments :