Persoon met data en geld tekent een document dat uit een scherm komt om CEO fraude te symboliseren
Geen AI: al onze artikelen zijn geschreven door echte mensen, zonder gebruik van AI
Inhoudsopgave
Klik hier voor een samenvatting van dit artikel
CEO-fraude in het kort

CEO-fraude is een vorm van Business Email Compromise (BEC). Medewerkers worden door oplichters via email benaderd, waarbij de oplichters zich voordoen als CEO, manager of leverancier. De mailtjes lijken net echt en spelen in op de machtsafstand binnen de organisatie en de fysieke afstand door het thuiswerken. In de mails vragen de oplichters de medewerker vaak op dwingende wijze om snel geld over te maken.

Omdat de mails net echt lijken en/of de machtsafstand groot is, gaat de medewerker akkoord. Zo raakt de organisatie geld kwijt, worden inloggegevens buitgemaakt en kunnen criminelen zich verder verdiepen in de organisatie. Je herkent CEO-fraude door te letten op:

  • De afzender: het nep-mailadres is net iets anders dan het echte mailadres.
  • Het onderwerp: de dringende verzoeken komen uit het niets en vallen buiten de normale werkwijze of het takenpakket van de werknemer.
  • De toon: is autoritair en dwingend.
  • Geheimhouding: de opdracht mag niet gedeeld of besproken worden.

Wil je meer weten over CEO-fraude en tips om CEO-fraude te voorkomen? Lees dan het volledige artikel hieronder. We vertellen ook wat je moet doen als je slachtoffer bent geworden.

Cybercriminelen richten zich niet langer alleen op nietsvermoedende burgers, maar proberen ook bedrijven op te lichten met uitzicht op een aanzienlijk hogere opbrengst. Een van de meest populaire oplichtingstechnieken staat bekend als CEO-fraude.

Wat is CEO-fraude precies en hoe werkt het? Wat moet je doen als je slachtoffer bent? We duiken in de wereld van CEO-fraude om je te leren hoe je deze vorm van oplichting herkent. Ook geven we tips om jouw organisatie te beschermen tegen CEO-fraude.

Wat is CEO-fraude?

CEO-fraude is een geraffineerde manier van oplichting gericht op bedrijven en grote organisaties. Oplichters doen zich voor als de CEO, de oprichter of een andere hooggeplaatste manager en proberen op deze manier geld los te peuteren.

In de meeste gevallen wordt er contact opgenomen via e-mail, met een bericht om dringend geld over te maken. Uiteraard komt dit bericht niet van de echte CEO, maar wordt er misbruik gemaakt van de machtsafstand ten opzichte van de gecontacteerde medewerker. Medewerkers met bevoegdheden om te betalen of te tekenen moeten extra waakzaam zijn voor CEO-fraude. Onthoud wel dat alle lagen van een organisatie voor de criminelen een ingang kunnen zijn.

Laten we een voorbeeld bekijken:

Zelf opgestelde nep-e-mail met inhoud die lijkt op CEO fraude

Het mailtje kan in principe echt zijn: er moet geld overgemaakt worden naar Engeland. Vaak weet de oplichter ook dat de organisatie een vestiging of leverancier in Engeland heeft zitten, dus het verzoek is plausibel. Het wordt daarnaast op een autoritaire manier aangekondigd, en er zit haast achter het verzoek. Door de vraag die volgt kan de oplichter op zijn minst meer inzichten in de betalingsprocedures krijgen, maar deze hoopt natuurlijk dat de ontvanger alleen om de betalingsinformatie en een makkelijk te vervalsen factuur vraagt.

De oplichter valt hier wel sneller door de mand door vanaf een simpel Gmail-adres te mailen, in plaats van een misleidend domein. Zo zijn er nog veel meer voorbeelden van scripts die door criminelen worden uitgewisseld en gebruikt.

Business Email Compromise (BEC)

CEO-scams zijn een vorm van Business Email Compromise (BEC). Dit zijn oplichtingspraktijken waarbij cybercriminelen via e-mails proberen een organisatie geld of informatie afhandig te maken. Deze vorm van oplichting berust op het manipuleren van het gedrag van mensen met behulp van misleiding (social engineering). Er wordt een e-mail verstuurd die zogenaamd afkomstig is van iemand binnen het bedrijf.

Deze vorm van fraude is vaak gebaseerd op zeer sluwe technieken en strategieën. Criminelen kunnen soms het legitieme e-mailaccount van de CEO of manager hacken. Vervolgens monitoren en analyseren ze hoe de CEO of manager communiceert. Op die manier kunnen oplichters anderen binnen de organisatie misleiden door een mail te sturen die echt afkomstig lijkt te zijn van de CEO.

In de laatste jaren pakken criminelen CEO-fraude steeds professioneler aan, waarbij ook grote bedrijven slachtoffer worden.

Hoe werkt CEO-fraude?

Er zijn twee belangrijke strategieën die CEO-fraudeurs gebruiken om bedrijven op te lichten. De eerste is door een e-mail te sturen vanaf een domein (het deel dat na ‘@’ komt) dat vrijwel identiek is aan de werkelijke domeinnaam van het bedrijf of slechts zeer kleine variaties bevat. De tweede is nog gevaarlijker: het hacken van het e-mailaccount van een medewerker.

Uitleg van Domain Spoofing en Hacken E-mailaccount de twee belangrijkste strategieën van CEO Fraude
  1. Domain spoofing: nep-mailtjes afkomstig van een domein (het gedeelte na de @ in je e-mailadres) dat visueel nagenoeg niet van het origineel te onderscheiden is. Zie jij in een oogopslag het verschil tussen [email protected] en [email protected]? Dit voorbeeld toont aan hoezeer CEO-fraudeurs verschillende domeinen op elkaar kunnen laten lijken.
  2. Hacken van e-mailaccount van leidinggevende of werknemer: in ernstige gevallen komen de mailtjes zelfs van het echte bedrijfsdomein af. Dat gebeurt wanneer criminelen eerst via (spear)phishing inbreken in het e-mailaccount van een medewerker of van de directie. Oplichters misleiden de werknemer door hem een e-mail te sturen die hem correct aanspreekt en een geloofwaardig verhaal bevat. Hij wordt gevraagd op een link of bijlage te klikken die gevaarlijke malware bevat. Met deze gevaarlijke malware kunnen criminelen de accounts van het slachtoffer, zoals het e-mailaccount, hacken. Hierdoor kan de crimineel zich inlezen in de structuur, communicatiestijl en lopende zaken van het bedrijf. Deze context wordt vervolgens misbruikt om het juiste slachtoffer op de juiste manier te benaderen.

CEO-fraude herkennen

Ondanks het feit dat criminelen hun best doen om het taalgebruik van de echte persoon na te bootsen, zijn er toch een aantal eigenschappen van de nepberichten die veelal overeenkomen. Kom je een of meer van de oplichtingsmethodes, verhalen en smoesjes tegen in een onverwacht bericht van je CEO, manager of collega? Dan moeten bij jou de alarmbellen afgaan.

Bekende technieken van business email oplichters

Als de oplichters eenmaal ingelezen zijn in de activiteiten van een organisatie, kunnen ze verschillende dingen proberen, afhankelijk van de werkzaamheden van de ontvanger. Een accountmanager is meestal niet in staat om tonnen over te maken voor een overname, maar kan op eigen initiatief wellicht wel cadeaukaarten kopen voor relaties of bij de financiële administratie een rekeningnummer laten wijzigen.

Cybercriminelen proberen vaak het volgende voor elkaar te krijgen:

  • Het overboeken van geld, zogenaamd voor overnames, aandeelhouders, projecten, etc.
  • Het aankopen van gift cards, zogenaamd voor relaties of collega’s.
  • Het wijzigen van betaal- en contactgegevens, zogenaamd vanwege wijzigingen of storingen bij partners.
  • Het betalen van spooknota’s, vaak afgestemd op lopende projecten of bestaande facturen.

Een nepmail herkennen: waarschuwingssignalen

Het is dan ook extra belangrijk om de mailtjes die je ontvangt kritisch te onderzoeken. Let daarbij goed op het volgende:

Zelf opgestelde nep-e-mail met inhoud die lijkt op CEO fraude waarbij veelvoorkomende signalen zijn uitgelicht
  • De afzender: vaak proberen de criminelen vanaf een vergelijkbaar domein (het gedeelte na de @ in je e-mailadres) contact te leggen. Controleer dus altijd de spelling van het emailadres van de afzender. In de meeste mail-clients als Outlook of Gmail kan dit door op de naam van de afzender te klikken. Zo laat je je niet misleiden door iemand die vanuit @mediarnarkt.nl mailt, in plaats van uit het [email protected].
  • Links in de mail: let altijd op linkjes die in mails staan. Controleer de bestemmingswebsite en wees extra waakzaam voor ingekorte links (b.v. bit.ly links). Oplichters kunnen via deze links inloggegevens stelen of malware verspreiden. Controleer de bestemming van een link bijvoorbeeld via het Google Transparency Report of Norton Safe Web .
  • Bijlagen: ook bijlagen worden actief misbruikt. Criminelen kunnen kwaadaardige code of software in Excel- of PDF-bestanden verstoppen. Open dus alleen bijlagen wanneer je deze verwacht.
  • Aanhef: wanneer de aanhef erg algemeen is (Geachte heer/mevrouw), dan kan dit een teken zijn van een nepmail. Een CEO zal jou bij je achternaam of naam noemen.

Waarschuwingssignalen in de e-mailtekst:

De teksten en berichten in CEO-fraude e-mails hebben vaak enkele gemeenschappelijke kenmerken. We zetten ze hieronder op een rijtje.

  • Autoriteit: de berichten hebben een autoritaire toon. Je krijgt het bevel om geld over te maken, een rekeningnummer te wijzigen of cadeaukaarten te kopen. Er wordt gretig misbruik gemaakt van de machtsafstand binnen de organisatie.
  • Vertrouwelijkheid: de zogenaamde CEO benadrukt dat je het bericht niet met collega’s of managers mag bespreken. De opdracht is namelijk een geheim of een verrassing.
  • Druk: het moet snel gebeuren, vandaag of zelfs nog voor de lunch. Daarnaast ligt het slagen van een verrassing, een overname of zelfs de toekomst van het bedrijf nu bij de ontvanger op de schouders.
  • Inpalming: tegelijkertijd wordt de ontvanger ingepalmd. Deze is de enige die genoeg wordt vertrouwd en is specifiek uitgekozen vanwege zijn of haar uitmuntende werkzaamheden.
  • Geruststelling: even bellen om de opdracht te bespreken is vaak niet mogelijk, want ‘de CEO’ zit in een belangrijke vergadering. Afhankelijk van het type scam verzint de oplichter wel een verificatiemethode, zoals het neptelefoonnummer van een bestaand advocatenkantoor. Als je dan belt, bel je met de oplichters die je verzekeren dat alles in orde is.

CEO-fraude voorkomen

Er zijn verschillende maatregelen die CEO-fraude en andere BEC-scams kunnen inperken. Het is vooral erg belangrijk om jouw hele organisatie bewust te maken van deze zwendel.

Hieronder geven we enkele specifieke tips voor zowel werknemers als bedrijven om CEO-fraude te voorkomen.

Het belangrijkste wapen tegen dit soort social engineering is bewustzijn. Alle lagen van de organisatie moeten op de hoogte zijn van dit soort praktijken. Hiermee voorkom je dat werknemers alles wat via de mail binnenkomt klakkeloos uitvoeren.

Tips voor medewerkers

Als medewerker heb je natuurlijk de meeste kans dat je een nep-mail binnenkrijgt. Vooral als de machtsafstand binnen de organisatie groot is, lijkt zo’n mailtje al gauw legitiem. Als medewerker kun je het volgende doen:

7 tips voor medewerkers om te voorkomen dat ze slachtoffer worden van CEO fraude
  • Controleer altijd de afzender. Klik in je mailprogramma op de naam van de afzender en controleer op afwijkingen.
  • Controleer altijd of een rekeningnummer uit een mail of factuur overeenkomt met wat er in de bestaande administratie bekend is.
  • Verifieer de betaling en bel de opdrachtgever. Gebruik het nummer dat bij jou bekend is. Het nummer dat bij het betaalverzoek staat kan van de oplichter zijn.
  • Blijf op de hoogte van de laatste trucs die oplichters gebruiken.
  • Bespreek verdachte mailtjes en verzoeken wel met collega’s en leidinggevenden. Als iets echt geheim is zal de organisatie je een ‘Non-Disclosure Agreement’ laten tekenen.
  • Probeer verdachte verzoeken op te pakken met de persoon zelf, ook al is de machtsafstand groot.
  • Ga niet zomaar in op verhalen en smoesjes die je vragen om het gebruikelijke proces te omzeilen.

Tips voor bedrijven

Als bedrijf is het haast onmogelijk om je volledig te wapenen tegen dit soort social engineering-aanvallen. Zelfs de meest beveiligde kluis gaat open als iemand de code op een post-it op een monitor heeft staan. Naast het trainen van de medewerkers kun je het volgende doen:

5 tips voor bedrijven om te voorkomen dat ze slachtoffer worden van CEO fraude
  • Zorg voor duidelijke protocollen, regels en dubbele verificatie voor het overmaken van hoge bedragen. Voer transacties bijvoorbeeld uit via het ‘vier ogen-principe’. Als de boekingen niet door slechts één persoon gedaan kunnen worden is de kans kleiner dat er fraude gepleegd wordt.
  • Hanteer duidelijke richtlijnen voor het wijzigen van contact- en betaalgegevens van leveranciers en andere derden.
  • Maak multifactorauthenticatie een vereiste voor zakelijke accounts. Als er dan inloggegevens worden buitgemaakt blijft het moeilijk om een account zomaar over te nemen.
  • Zorg voor voldoende budget voor cybersecurity. Het is bijvoorbeeld mogelijk om een waarschuwing te tonen bij mailtjes die van een extern domein komen.
  • Organiseer zelf een beveiligings-audit binnen je organisatie: veel bedrijven sturen zelf (onaangekondigd) een nep-phishing mail. Medewerkers die er toch in trappen krijgen een extra training over digitale veiligheid.

Dit moet je doen als je slachtoffer bent geworden CEO-fraude

De criminelen gaan op slinkse wijze te werk, dus het is niet vreemd als er iemand binnen jouw organisatie in de val loopt. Onderneem in dit geval altijd de volgende stappen:

5 dingen die je kunt doen als je slachtoffer bent geworden van CEO fraude
  • Doe aangifte bij de politie. Verzamel zo veel mogelijk bewijs, zodat de politie de daders eventueel kan matchen met andere zaken. Meld ook de geschatte schade.
  • Neem contact op met de bank. Soms kunnen zij nog actie ondernemen en transacties blokkeren of terugdraaien.
  • Meld de mailtjes of andere pogingen van BEC-scams altijd bij de IT-afdeling van je organisatie.
  • Breng ook belangrijke derde partijen op de hoogte. Leveranciers en andere dienstverleners zijn, vooral na een inbraak in het mailsysteem, ook kwetsbaar voor vervolgaanvallen.
  • Wanneer er sprake is van inbraak bij de systemen, raadpleeg dan professionals om je netwerkomgeving te controleren op eventuele achtergebleven malware.

Bekende voorbeelden CEO-fraude

Tot slot bespreken we enkele gevallen van CEO-fraude/BEC-fraude om je een inzicht te geven in hoe deze zwendel meestal begint en verloopt. BEC-fraude is vaak gericht op miljardenbedrijven en soms zelfs op overheden.

Dat slimme criminelen zo de jackpot binnen kunnen halen werd duidelijk na een succesvolle BEC-scam bij bioscoopketen Pathé en de Romeinse voetbalclub Lazio.

CEO-fraude bij Pathé

Bij Pathé was het niet een ‘lage’ medewerker die erin trapte, maar is het de tweekoppige directie geweest die de nep-communicatie voor echt heeft aangezien. De twee directeuren werden zogenaamd door de directie van het Franse moederbedrijf gesommeerd om geld beschikbaar te stellen voor een bedrijfsovername in het buitenland.

De directeuren roken wel onraad, maar de aangeleverde overnamedocumenten leken legitiem en de handtekeningen kwamen overeen met wat ze eerder hadden gezien. De betaling was urgent en moest uiteraard strikt geheim blijven en daarom ging de directie mee in het verzoek om van de standaardprotocollen af te wijken. De Nederlandse directie moest zelfs geld uit de internationale cashpool van Pathé opnemen om aan de aanvragen te blijven voldoen. Pas toen de echte Franse directie kwam navragen waarom ze zoveel geld nodig hadden kwam de fraude aan het licht. De totale schade? 19 miljoen euro.

CEO-fraude bij Lazio Roma

Pathé is niet het enige grote slachtoffer; ook voetbalclub Lazio Roma is in 2014 in een nep-mail getrapt. Deze mail, waarin werd gevraagd om resterende miljoenen voor de transfer van een verdediger, leek afkomstig te zijn van Feyenoord. Het lukte de criminelen om een verzoek tot betaling precies op het goede moment naar de juiste persoon te versturen, compleet met nieuw rekeningnummer wat in handen was van de oplichters. De Italiaanse club maakte vervolgens het bedrag van 2 miljoen euro over naar de frauduleuze rekening van de hackers.

CEO-fraude komt steeds vaker voor

Dat CEO-fraude veel geld oplevert is al duidelijk. Volgens de FBI loopt de schade in de VS in de miljarden en in Nederland loopt de schade ook in de miljoenen. Bij de Fraudehelpdesk was er begin 2022 al ruim 10.5 miljoen aan schade door bedrijfsfraude geconstateerd. Het ging voornamelijk om CEO-fraude, neptelefoontjes en misbruik van bedrijfsnamen. De werkelijke cijfers liggen waarschijnlijk nog hoger, omdat niet alle bedrijven melding maken van het voorval, vooral wanneer het blijft bij een poging of slechts een laag schadebedrag. Over diezelfde periode in 2021 was dit nog ruim 3 miljoen.

Voor de COVID-pandemie kwam dit type oplichting al steeds vaker voor, maar door het vele thuiswerken is het voor criminelen steeds eenvoudiger om ertussen te komen. Bedrijven leunen meer dan ooit op communicatiemiddelen en chatprogramma’s als email en Slack. Dit maakt het voor de criminelen steeds aantrekkelijker om bedrijven gericht aan te vallen met een combinatie van BEC-scams op basis van social engineering, het bespelen van menselijk gedrag en gewoontes.

BEC-fraude blijkt vooral voor Nederlandse organisaties een grote bedreiging te zijn. Uit onderzoek van cybersecuritybedrijf Proofpoint blijkt dat maar liefst 92% van de Nederlandse bedrijven te maken krijgt met BEC-fraude. Dit is het hoogste percentage in Europa. Wereldwijd is het gemiddelde 75 procent.

CEO-fraude in de toekomst

BEC-technieken worden gebruikt voor verschillende doeleinden. Sommige cybercriminelen proberen een paar duizend euro af te troggelen, andere pakken het grootser en professioneler aan. Zo blijkt dat er soms zelfs al gebruik wordt gemaakt van vishing. Vishing is een combinatie van de Engelse woorden Voice en Phishing. Op deze manier is een Brits energiebedrijf ruim 2 ton afhandig gemaakt door op basis van geluidsfragmenten een deepfake te maken van de stem van de CEO.

In een telefoongesprek vroeg de nep-CEO van het moederbedrijf aan de directeur van het Britse dochterbedrijf of hij dit geld naar het account van de cybercriminelen kon overmaken. Het gebruik van dit soort geavanceerde middelen is relatief duur en ingewikkeld, maar zal in de toekomst ook voor de huis-tuin-en-keukencrimineel beschikbaar worden.

Ook zien we tegenwoordige een nieuwe vorm van CEO-fraude genaamd CxO-fraude. We bespreken de opkomende vorm van oplichting hieronder.

CxO-fraude

Bij BEC-aanvallen vragen oplichters om op een link te klikken om een betaling uit te voeren. Tegenwoordig zien we een verschuiving, waarbij nep-CEO’s medewerkers van bedrijven vragen om een telefoonnummer. Deze telefonische CEO-fraude wordt ook wel CxO-fraude genoemd. Oplichters gaan als volgt te werk:

  1. De oplichter doet zich voor als CEO en neemt per e-mail contact op met een medewerker van een bedrijf met het verzoek om dringend geld over te maken.
  2. De oplichter vraagt om een telefoonnummer van een medewerker van de financiële afdeling.
  3. Via WhatsApp doet de oplichter zich voor als de CEO of een andere leidinggevende. Met bijbehorende profielfoto zorgt de oplichter dat de medewerker geen argwaan krijgt.
  4. De oplichter vraagt om een betaling te doen of andere vertrouwelijke informatie te verstrekken.

Bij deze vorm van fraude gaat de oplichting dus over in WhatsApp-fraude. Deze telefonische CxO-fraude vindt vaak plaats buiten de bedrijfssystemen om. Hierdoor is het lastiger te detecteren en te voorkomen dan CEO-fraude via e-mail.

Cybersecurity-specialist Computest waarschuwt voor toename van telefonische CxO-fraude. Zoals hierboven al besproken komen BEC-aanvallen in Nederland veel voor. Ook het risico op CxO-fraude is dus groter voor Nederlandse bedrijven. De gevolgen van deze opkomende vorm van CEO-fraude kunnen enorm zijn.

Tot slot

Bovenstaande voorbeelden laten zien dat oplichters met de dag creatiever worden. CEO-fraude is een ernstig probleem, vooral voor kleinere ondernemingen die zich dergelijke verliezen eenvoudigweg niet kunnen veroorloven. Wees alert wanneer je een e-mail ontvangt van de CEO of een andere grote baas om een fors geldbedrag over te maken.

Ook andere vormen van fraude zijn populair, zoals helpdeskfraude of SMS-fraude. Het is belangrijk om op de hoogte te blijven van deze vormen van cybercrime, zodat je jezelf veilig kunt houden.

CEO-fraude: veelgestelde vragen

Heb je een specifieke vraag over CEO-fraude? Bekijk onze FAQ hieronder. Klik op een vraag om het antwoord te zien. Ontbreekt jouw vraag? Laat een antwoord achter met je vraag en we nemen zo snel mogelijk contact met je op!

Wat is CEO-fraude?

CEO-fraude is een vorm van phishing waarbij het slachtoffer, een werknemer, wordt misleid om (veel) geld over te maken naar een oplichter. Oplichters sturen een e-mail waarin de oplichter zich voordoet als de CEO of een hooggeplaatste manager van een bedrijf. In de e-mail vragen de oplichters om een rechtstreekse overschrijving of een wijziging van bestaande betalingsgegevens, of ze gebruiken andere trucs om geld te stelen. CEO-fraude is een vorm van Business Email Compromise (BEC) en social engineering.

Wat is Business Email Compromise (BEC)?

Business Email Compromise (BEC) is een verzamelnaam voor oplichtingspraktijken waarbij cybercriminelen via e-mails proberen een organisatie geld of informatie afhandig te maken. CEO-fraude een vorm van Business Email Compromise.

Hoe kan ik CEO-fraude voorkomen?

Het voorkomen van CEO-fraude is niet eenvoudig, omdat cybercriminelen met de dag inventiever lijken te worden. Toch zijn er een paar tips die je kunt volgen om de kans dat je slachtoffer wordt veel kleiner te maken:

  • Controleer altijd zorgvuldig het e-mailadres waar de e-mail die je hebt ontvangen vandaan komt. Vaak gebruiken CEO-fraudeurs een e-mailadres dat iets verschilt van de persoon als wie ze zich voordoen.
  • Bespreek verdachte e-mails met je leidinggevende of collega’s. Idealiter bespreek je het verzoek dat je per e-mail hebt ontvangen persoonlijk of telefonisch met de afzender van de e-mail.
  • Maak en handhaaf duidelijke regels voor het doen van betalingen en het wijzigen van betalingsinformatie in jouw organisatie.
Wat zijn de belangrijkste aspecten van een CEO-fraude phishing mail?

De inhoud van CEO-fraude e-mails hebben vaak enkele gemeenschappelijke kenmerken:

  • Het betreft berichten met een autoritaire toon.
  • Het bericht is vertrouwelijk en mag niet besproken worden met collega’s of managers.
  • Er zit druk achter.
  • De ontvanger wordt ingepalmd.
  • Het is niet mogelijk om de opdracht te bespreken.
Hoe herken je CEO-fraude?

CEO-fraude zou je kunnen herkennen doordat je per e-mail een betaalopdracht ontvangt met autoritaire toon waar veel haast bij zit. De zogenaamde CEO geeft aan dat de opdracht vertrouwelijk is en niet gedeeld mag worden met collega’s. Lees ook ons uitgebreide artikel over CEO-fraude voor meer tips voor het herkennen van CEO-fraude.

Bas Teunissen

Bas Teunissen

Techredacteur

Meer artikelen uit de sectie Cybercrime

Laat een reactie achter