Criminelen hebben bij het Rotterdamse staalbedrijf Jewometaal een flinke som geld buitgemaakt door middel van ceo-fraude. Dat gebeurde in de zomer van 2018, waarbij diverse betalingen samen optelden tot 11,4 miljoen euro, blijkt uit onderzoek door RTL Z. Een fraudeur deed zich succesvol voor als topman van het Duitse moederbedrijf, waarna een medewerker de opdracht kreeg om herhaaldelijk grote bedragen over de maken.

Het Nederlandse Jewometaal in de Botlek is onderdeel van ELG, wereldmarktleider in recycling van roestvrijstaal en tot vorig jaar een dochter van het grote Duitse familiebedrijf Haniel Group. Onderstaand de gang van zaken in de zomer van 2018 zoals bericht door RTL.

CEO-fraude

Op 17 juli 2018 kreeg een medewerkster van de financiële administratie van Jewometaal een telefoontje van iemand die zich voordeed als de chief executive officer van het Duitse moederbedrijf. De man gebood de medewerker 2,6 miljoen euro over te maken naar Hongkong voor een geheime overname.

De administratief medewerkster weigerde dat aanvankelijk, waarop de zogenaamde Duitse topman dreigde haar te zullen ontslaan. De vrouw liet daarop weten de betaling alleen uit te voeren als zij daarvoor opdracht kreeg van het hoofd van de financiële afdeling, die net op vakantie was gegaan.

Daarop ontving zij een nep-mail, waarin haar leidinggevende liet weten dat alle opdrachten van de Duitse topman uitgevoerd moesten worden. Vervolgens vroeg en kreeg de medewerkster de benodigde goedkeuring van twee collega’s, en maakte ruim 2,6 miljoen euro over naar een rekening in Hongkong.

Daarbij bleef het niet. Tussen 18 en 31 juli deed de medewerkster in opdracht nog tien betalingen van in totaal ruim 9,9 miljoen dollar.  Omgerekend is dat 8,8 miljoen euro. In totaal werd er dus 11,4 miljoen euro overgeboekt.

Wat is CEO-fraude?

CEO-fraude is een vorm van phishing of social engineering waarbij de dader een medewerker van het bedrijf benadert alsof die persoon een directeur of andere hooggeplaatste functionaris is. Het doelwit is vaak een manager of bijvoorbeeld een medewerker van de boekhouding of financiële afdeling. Die wordt vriendelijk maar met de nodige urgentie verzocht om een betaling uit te voeren, meestal naar het buitenland en naar een vooralsnog onbekende relatie.

Wat deze vorm van fraude zo ingrijpend maakt, is ten eerste het feit dat de overboeking door een medewerker binnen de organisatie wordt uitgevoerd. Een medewerker die daar bovendien toe bevoegd is, ook al zal later blijken dat de opdracht van een fraudeur van buiten het bedrijf kwam. Dat maakt het erg lastig om –tijdig– te ontdekken, laat staan om het terug te draaien.

Ten tweede zullen banken en verzekeraars de geleden schade niet vergoeden. Het buitgemaakte bedrag is immers volgens de reguliere kanalen overgeboekt.

CEO-fraude is in de praktijk lastig te voorkomen, omdat cybercriminelen bijzonder veel moeite nemen in hun voorbereiding. Organisaties die te maken krijgen met CEO-fraude, worden heel bewust uitgezocht. In tegenstelling tot bijvoorbeeld generieke phishing-campagnes of een grootschalige ransomware-actie worden er geen (honderd)duizenden personen en bedrijven tegelijkertijd benaderd in de hoop dat er een paar zullen bijten. Nee, fraudeurs doen hun huiswerk en steken vaak maanden in de voorbereiding.

Social engineering: voorbereiding door fraudeurs

Social engineering speelt bij CEO-fraude een grotere rol dan daadwerkelijke hacking. Cybercriminelen gebruiken bijvoorbeeld allerhande informatie online om zoveel mogelijk over een organisatie of een specifiek doelwit binnen een organisatie te weten te komen. Denk aan de corporate website, maar ook aan sociale media als Facebook en LinkedIn. Wie zijn de klanten en (toe)leveranciers, welke banken, financiële instellingen en bijvoorbeeld accountants of advocaten zijn er aan het bedrijf verbonden? Om vervolgens in te zoomen op medewerker(s) en functie(s). Wie kunnen we het beste benaderen, wat is zijn of haar taak, hoe is het netwerk opgebouwd? Maar ook: hoe liggen de verhoudingen binnen het bedrijf en waar liggen de zwakke punten? Wie is er verantwoordelijk voor welk onderdeel en wat is de beste ‘ingang’ om het doelwit te benaderen?

Dat huiswerk kan nog indringender van aard zijn. Door op de zwarte markt illegaal aan informatie te komen, of juist heel direct via e-mail of telefoon. Er wordt van alles aan gedaan om aan relevante gegevens te komen, zodat fraudeurs weten wie ze kunnen benaderen, wat ze moeten zeggen en op welke knoppen ze moeten drukken.

CEO-fraude: waar moet ik op letten?

CEO-fraude heeft in de basis wel wat overeenkomsten met phishing: het startpunt voor de geslachtofferde medewerker is vaak een vals e-mailtje. Een oproep van bijvoorbeeld de directeur of eindverantwoordelijke van de financiële afdeling met het verzoek met de nodige haast een bepaalde betaling uit te voeren. Omdat het van invloed is op lopende onderhandelingen, bijvoorbeeld. Of om een overeenkomst met een nieuwe klant te versnellen.

Na het eerste e-mailverkeer wordt er vaak ook nog telefonisch contact gezocht, om de urgentie te benadrukken en om extra druk te leggen. Sleutelwoorden zijn termen als ‘vertrouwelijk’, ‘spoed’ en ‘cruciaal’: er is schijnbaar van alles aan gelegen om deze betaling snel uit te voeren, en de medewerker voelt behalve die druk ook een bepaalde betrokkenheid. ‘Ik kan helpen deze deal te beklinken!’

Bovenstaande signalen beschrijven de benadering, maar ook bij het daadwerkelijke betalingsproces kunnen er bellen gaan rinkelen. De uitvoering van de betaalopdracht wijkt namelijk vrijwel altijd af van de gebruikelijke handelingen, omdat fraudeurs hun best doen de transactie lastig traceerbaar te maken. Het gaat bijvoorbeeld om een bankrekening en een klant/relatie die binnen het bedrijf niet bekend is, en zeker nog niet in het systeem voorkomt.

Wat kun je doen?

Zoals bij alle vormen van cybercrime speelt awareness een belangrijke rol, het bewustzijn van een dreiging zoals CEO-fraude. Het is belangrijk dat er binnen alle lagen van een organisaties aandacht voor is, zodat medewerkers weten waar ze op moeten letten. Deel concrete tips, en zorg dat iedereen weet waar ze zich in geval van twijfel kunnen melden.

Dat geldt vooral voor de grotere bedrijven, want: hoe meer personeel, hoe groter de kans dat niet iedereen elkaar persoonlijk kent en hoe gemakkelijker het dus voor fraudeurs is om zich voor te doen als een collega of leidinggevende.

Tips voor preventie

Los van bewustzijn, het juiste niveau van kennis en informatie en een werkklimaat waarin deze risico’s bespreekbaar zijn, zijn er ook concrete handelingen om de risico’s van CEO-fraude te verkleinen:

1) Zorg voor heldere regels in het betaalverkeer. Cybercriminelen gebruiken afwijkende omstandigheden om gebruikelijke processen te omzeilen;

2) Zorg dat afwijking van die regels altijd vermeden worden;

3) Zorg voor een duidelijk stappenplan bij twijfelgevallen, zodat medewerkers intern toestemming checken voordat bepaalde transacties uitgevoerd worden. Bijvoorbeeld bij een collega of leidinggevende, want het is voor fraudeurs een stuk lastiger om meerdere mensen te misleiden.

Sluit je aan bij FERM

Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.

Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode verbonden.

En wist je dat je als participant mee kunt doen aan onze cybercrisistrainingen in mei en Cybernautics-FERM in juni? Volgens experts uit het veld is de waarde van de training en de oefening gelijk aan het tienvoudige van je deelname aan FERM. Directe value for money dus! | Lees meer op ferm-rotterdam.nl/cybernautics

Vind FERM ook op LinkedIn | Twitter

Deel dit bericht