Cybercriminelen gaan steeds geraffineerder te werk en dus zul je als organisatie serieus werk moeten maken van cybersecurity. Met regelmaat worden organisaties slachtoffer van zogenoemde CxO-fraude, waarbij oplichters zichzelf voordoen als de CEO of CFO van het bedrijf en op die manier medewerkers proberen aan te zetten tot een bepaalde actie (zoals het met spoed overmaken van geld). Daarmee doet deze vorm van oplichting denken aan de aloude ‘babbeltruc’, waarbij betrouwbaar ogende oplichters, die bijvoorbeeld zeggen te spreken namens de bank of de thuiszorg, hun slachtoffers geld of zelfs hun pincode proberen af te troggelen.
Hoe is deze vorm van fraude te herkennen en te voorkomen? We geven hieronder een aantal kenmerken en handvatten.
Hoe kun je CxO-fraude herkennen?
CxO-fraude begint doorgaans met een authentiek lijkende e-mail, waarbij een externe partij zich voordoet als de CEO of CFO van het bedrijf. Alhoewel de inhoud en de aard van het verzoek kunnen verschillen, bevat een typische, goed uitgevoerde fraudemail vaak dezelfde, deels samenhangende kenmerken.
Urgentie: er is altijd haast bij
Een typisch CxO-fraudeverzoek bevat altijd een aansporing om vaart te maken; er is door omstandigheden op korte termijn actie vereist. Op die manier hopen de oplichters te voorkomen dat de ontvangende partij vragen gaat stellen, het normale proces omzeilt of de directeur gaat bellen. Meestal staat er expliciet in de mail dat nabellen niet kan omdat de directeur niet bereikbaar is.
Het gaat om een uniek, opvallend verzoek
De directeur die plotseling iets nodig heeft, snel geholpen moet worden en dat op zo’n manier aan jou vraagt: dat is uniek. Zeker als het verzoek ook inhoudelijk gek is: als er bijvoorbeeld om cadeaubonnen wordt gevraagd. Dan wordt de medewerker verzocht om een foto van de cijfer- of barcode van de betreffende cadeaubon door te sturen. Codes waarmee de fraudeur de bonnen kan verzilveren.
De normale procedure wordt niet gevolgd
De fraudeur probeert te voorkomen dat je de normale procedure volgt, zoals je normaliter doet bij een aankoop. Daar dient die urgentie voor: de ‘directeur’ suggereert dat we het later wel administreren, maar dat dat nu even niet kan.
Het taalgebruik en het mailadres lijken authentiek
De manier van communiceren en formuleren lijken op die van de afzender. De afzender mailt vaak niet vanaf het officiële bedrijfsaccount, maar vanaf een authentiek lijkend privéaccount, zoals Gmail of Hotmail. Natuurlijk met de smoes dat dat nu ‘even niet anders kon’.
Fraudeurs gaan bij dit alles steeds geraffineerder te werk. Ter voorbereiding kunnen de fraudeurs op zoek gaan naar social-mediaposts en andere online uitingen van de directeur, om zijn of haar taalgebruik en tone of voice zo goed mogelijk te kunnen benaderen. Ook zoeken ze op social media naar privéinformatie die ze kunnen gebruiken, bijvoorbeeld over vakantiebestemmingen, hobby’s en eventuele kinderen. Het doel: het bericht in alle opzichten zo authentiek mogelijk laten lijken. Als de directeur op skivakantie is en dat op Facebook heeft gezet, kan de fraudeur er zelfs een vakantiekiekje bij doen – met de groetjes vanaf de piste.
Hoe kun je CxO-fraude voorkomen?
Technische maatregelen kunnen helpen om CxO-fraude te voorkomen. Zo kan tweestapsverificatie voorkomen dat cybercriminelen de inloggegevens van een medewerker achterhalen en deze vervolgens gebruiken om uit naam van een collega te mailen. Maar boven alles speelt bewustwording een grote rol bij het voorkomen van CxO-fraude. Ook het afspreken (en navolgen!) van heldere procedures is een belangrijk middel in de strijd tegen oplichters.
Investeer in bewustwording bij medewerkers
Het voorkomen van CxO-fraude begint met het bewust maken van je medewerkers van het mogelijk gevaar. Als medewerkers weten hoe fraudeurs doorgaans te werk gaan, wordt de kans een stuk kleiner dat ze daadwerkelijk in een nepmail trappen. Een permanente interne campagne kan ervoor zorgen dat het risico van CxO-fraude bij elke medewerker op het netvlies staat en dat de diverse red flags (zoals plotselinge urgentie of ‘vreemd’ aanvoelende verzoeken) snel worden herkend.
Maak duidelijke afspraken en communiceer de regels
Glasheldere afspraken en protocollen kunnen voorkomen dat een fraudepoging slaagt. Zo kan – in het kader van het ‘vier-ogen-principe’ – worden afgesproken dat degene van wie de mail afkomstig lijkt te zijn áltijd eerst wordt gebeld, no matter what. Zeker rondom vakanties van directieleden kan een duidelijk protocol op dit vlak veel leed voorkomen.
Voor aankopen kan verder worden afgesproken dat deze altijd, zonder uitzondering, moeten worden voorafgegaan door een geaccordeerde inkooporder.
Voor specifieke aankopen (zoals cadeaubonnen) kun je afspreken dat die alleen worden gekocht door (bijvoorbeeld) HR. Zoals de bank duidelijk zegt: “wij zullen nooit om een pincode vragen”.
Scherm social media zoveel mogelijk af
Social media-uitingen van een CEO, CFO of andere hoge functionaris zijn voor oplichters dankbare inspiratiebronnen. Des te belangrijker dus om goed na te gaan welke informatie voor wie zichtbaar is.
Denk na over je communicatiestijl
Als medewerkers afstand voelen tot bijvoorbeeld directieleden of er een formele bedrijfscultuur heerst, dan is de kans om slachtoffer te worden van CxO-fraude groter. De fraudeur probeert de medewerker in de positie te brengen dat hij het verzoek niet durft te weigeren en geen navraag doet. Ook in dit geval kan een helder protocol uitkomst bieden; het biedt medewerkers meer houvast bij het aankaarten van mogelijke fraude. Spoor de medewerker vooral aan om ‘rare’ verzoeken te checken bij de directeur of bij het secretariaat. Ook, of wellicht juist, als de directeur op vakantie is.
Lees ook:
- Knowledge to the people
- Phishing en de kunst van het verleiden
