Fraudeurs op walvissenjacht - opgepast voor whale phishing

Fraudeurs op walvissenjacht - opgepast voor whale phishing

Geschreven door Katrien Devulder op

Stel: als boekhouder binnen uw bedrijf krijgt u een e-mail van uw CEO met de vraag om dringend een som geld over te schrijven naar een onbekende rekening. Gaat u hierop in of dubbelcheckt u het eerst? Dat laatste doet u best wel, want CEO-fraude komt vaker voor dan u denkt.

CEO-fraude of whale phishing is een vorm van oplichting waarbij fraudeurs zich voordoen als iemand met een hoge functie in een organisatie (CEO, CFO, voorzitter, aandeelhouder …) om op die manier geld te verduisteren. Men maakt gebruik van de autoriteit die deze personen vanuit hun functie hebben, om andere mensen in het bedrijf te overtuigen geld over te schrijven naar vreemde rekeningnummers, zonder dat ze zich daar vragen bij stellen. In tegenstelling tot bij andere vormen van phishing richten fraudeurs zich hier dus niet zomaar op een grote groep potentiële slachtoffers, maar vallen ze gericht de ‘vette vissen’ in de onderneming aan.

Vaakst gedetecteerde vorm van fraude

Uit een recent verschenen studie van adviesbureau BDO, dat 245 Belgische bedrijven ondervroeg over fraude, blijkt dat CEO-fraude tegenwoordig de vaakst gedetecteerde vorm van oplichting is. 40% van de ondervraagde bedrijven liet weten dat het in de afgelopen vijf jaar al een poging tot CEO-fraude had kunnen verhinderen. Vijf procent van de bedrijven werd effectief al opgelicht op deze manier. Van alle vormen van oplichting die werden onderzocht, veroorzaakt CEO-fraude of whale phishing veruit het grootste verlies: gemiddeld €350 000 per aanval. Reden genoeg dus om ook in uw bedrijf de problematiek onder de aandacht te brengen bij uw collega’s.

(Bron: De Standaard, BDO)

Social Engineering

Oplichters die via whale phishing bedrijven aanvallen, hebben hun huiswerk gemaakt: via social engineeringtechnieken proberen ze te weten te komen wie de invloedrijke mensen in een bedrijf zijn en wie in het bedrijf geschikt is om te benaderen met een valse e-mail. Meestal zijn dat medewerkers in de finance- of boekhoudafdeling, die wel vaker betalingsopdrachten krijgen. De e-mails met de vraag om geld over te maken, zijn vakkundig vervalst: ze bevatten het logo van het bedrijf, hanteren geloofwaardig taalgebruik en geven vaak zelfs een plausibele reden voor de betalingsopdracht. In tegenstelling tot andere phishingmails zijn deze e-mails dus steeds moeilijker te herkennen.

Wees waakzaam en informeer uw collega's

Waakzaam zijn en blijven is dus de boodschap! Uiteraard is een goed beveiligde IT-omgeving onmisbaar in de strijd tegen oplichters. Maar whale phishing is specifiek gericht op de zwakste schakel: de mens. We raden daarom aan om uw collega's voldoende en regelmatig in te lichten over de gevaren van whale phishing en om volgende signalen van CEO-fraude te herkennen:

  • De vraag komt van iemand prominent in uw bedrijf - of daarbuiten, bijvoorbeeld vanuit de hoofdzetel, het moederbedrijf, externe aandeelhouders, ... Iemand die u misschien niet persoonlijk kent, maar die wel veel autoriteit heeft.
  • Er wordt gevraagd om een groot bedrag over te schrijven naar een onbekende rekening.
  • Men vraagt om geheimhouding.
  • Het is dringend.

Wanneer u een e-mail ontvangt met deze eigenschappen, gaat er best al een alarmbel rinkelen! Check daarom bij elke vraag om financiële transacties uit te voeren, deze zaken:

  • Het e-mailadres van de afzender: komt het wel van de persoon die de afzender beweert te zijn? Een subtiele spelfout kan hier een aanwijzing zijn. Let op: ook als de e-mail wel degelijk van uw collega lijkt te komen, bent u nog niet zeker dat u het bericht kunt vertrouwen. Er kan immers ingebroken zijn op de e-mailaccount van uw collega.
  • Het rekeningnummer: gaat het om een 'nieuw rekeningnummer' voor een bepaalde partner of leverancier? Bel hen dan even op om na te gaan of dit klopt.
  • Hanteer het vier-ogenprincipe: vraag rechtstreeks aan uw collega of hij/zij wel degelijk deze opdracht gegeven heeft. In een tijd van toenemende globalisering en digitalisering, waarbij collega’s elkaar steeds minder persoonlijk kennen, is dat niet meer altijd evident, maar wel de enige sluitende manier om CEO-fraude tegen te gaan.

Wat als u toch slachtoffer wordt?

Van zodra u een vermoeden hebt toch slachtoffer te zijn van CEO-fraude, dan contacteert u best zo snel mogelijk uw bank. Mogelijks kan uw bank de overschrijving nog annuleren of de rekening van de oplichters blokkeren zodat zij het geld niet meer kunnen afhalen of verder versluizen. Meld ook ieder geval van CEO-fraude via meldpunt.belgie.be (optie ‘CEO-fraude’). Uw melding wordt dan automatisch doorgestuurd naar de politie, zodat zij de zaak verder kan onderzoeken. Kan de politie de daders identificeren, dan wordt het dossier overgemaakt aan het gerecht en kan u zich burgerlijke partij stellen om uw geld alsnog te recupereren.

Hulp nodig bij het sensibiliseren van uw medewerkers?

Met het uitgebreide IT-security-aanbod van Savaco bent u al goed op weg om uw bedrijf te beschermen tegen online oplichters. En met bovenstaande tips kan u uw collega's bewustmaken van de gevaren van whale phishing. Wil u graag meer tips om uw medewerkers te sensibiliseren op het vlak van IT-security? Contacteer onze experts, ze geven u graag uitgebreid advies.