201815jan

Om je kapot te schamen

201815jan

In het FD Financieele Dagblad van zaterdag 13 januari staat het verhaal ‘Om je kapot te schamen’ met IT-ondernemers Bas en Pieter. Ze hadden wel eens van ceo-fraude gehoord. Maar wie trapt dáár nou in? Wie maakt er nou een ton over op basis van een nepmail? Zij niet. Toch overkwam ze precies dat. Anoniem doen ze hun verhaal.

Als directeur Cybersecurity bij Hoffmann is Petra Oldengarm niet verrast door het verhaal van Bas en Pieter. ‘Ceo-fraude is, na gijzelsoftware, een van de meest voorkomende voorbeelden van internetcriminaliteit in het bedrijfsleven’. Ze schudt een reeks voorbeelden uit haar mouw van klanten die honderdduizenden euro’s, en soms meer dan een miljoen overmaakten naar het buitenland, naar aanleiding van een misleidende mail, bijvoorbeeld vanaf een vals adres.

Vrijwel altijd zijn de slachtoffers het geld ook echt kwijt. ‘De goede afloop in de casus van Bas en Pieter is een uitzondering’, zegt ze. Ook bijzonder is dat de criminelen het in dit geval op een relatief klein bedrijf hadden gemunt. ‘Meestal zie je dat het om grotere ondernemingen gaat, waar de afstand tussen de ceo of de cfo en de mensen op de werkvloer groter is. Dat zijn plekken waar het normaal is om per mail te communiceren en waar je niet zo snel even bij iemand binnenloopt.’

De criminelen achter ceo-fraude maken volop gebruik van de menselijke psychologie: we willen elkaar vertrouwen en zijn vaak bang voor autoriteit. Hoffmann test regelmatig voor opdrachtgevers hoe snel mensen telefonisch aan vreemden het wachtwoord van hun computer weggeven. Oldengarm: 'Zonder al te veel moeite doet 68% van de onderzochte medewerkers dat. Als we mensen ook nog telefonisch vragen naar een website te gaan en daar hun wachtwoord in te voeren is dat zelfs 77%.'

De laatste tijd wordt de ceo-fraude geavanceerder, zo lijkt het. ‘Criminelen steken steeds meer onderzoek in hun slachtoffers', zegt Oldengarm. Ze richten hun pijlen bijvoorbeeld bewust op een nieuwe medewerker die de procedures misschien nog niet zo goed kent. 'We zien ook dat ze vaker de telefoon pakken en zich voordoen als bijvoorbeeld een nieuwe medewerker van een leverancier of als iemand die werkt aan een vertrouwelijk project voor de baas, om op die manier de druk op mensen op te voeren.’

Arrestaties voor dit soort criminaliteit komen zelden voor. ‘Vaak is de herkomst van de mails terug te traceren tot een bijvoorbeeld voormalige Oostbloklanden. Dan loopt het spoor snel dood. En in die landen heeft de politie vaak niet genoeg kennis om dit soort zaken op te lossen.’

Auteur Sandra Oltshoorn namens FD Financieele Dagblad.