Opgepast voor spookfacturen

Tot een tijd geleden kwamen spookfacturen vooral voor bij papieren facturen. Hierbij onderscheppen oplichters de facturen bijvoorbeeld uit de rode brievenbussen van bpost of uit postkamers van bedrijven. Daarna veranderen ze het rekeningnummer, ofwel op de factuur zelf, of door een sticker op de enveloppe te plakken met de waarschuwing “Opgelet, gewijzigd rekeningnummer”. De factuur wordt dan opgestuurd naar de klant, die meestal nietsvermoedend het bedrag overschrijft naar het valse rekeningnummer.

Maar de laatste jaren komt ook steeds meer fraude voor met elektronische facturen. Ook hier worden de facturen, die meestal via e-mail worden verstuurd, door de oplichters onderschept en gewijzigd. Hackers gebruiken hiervoor twee technieken: phishing en social engineering.

Bij phishing proberen criminelen via software om jouw systeem te manipuleren en zo wachtwoorden en pincodes te ontfutselen om daarmee jouw binnenkomende of uitgaande facturen te vervalsen. Dat doen ze bijvoorbeeld met ransomware, cryptolockers, maar ook met RATs (Remote Access Trojans) waarmee ze ongelimiteerde toegang krijgen tot jouw pc en dus ook jouw data, of met keyloggers, die toetsaanslagen of zelfs muisbewegingen van een computergebruiker registeren.

Een nog gevaarlijkere én zeer gerichte manier om jouw bedrijf ‘binnen te dringen’ is social engineering. Hierbij vallen de oplichters precies de zwakste schakel aan in een beveiligde IT-omgeving: de mens. Men maakt gebruik van zoekmachines als Google, maar ook van sociale netwerksites als Facebook of LinkedIn, om meer te weten te komen over jij, jouw bedrijf of jouw collega’s. Met die informatie in de hand nemen ze persoonlijk contact met je op en doen ze zich voor als iemand die je vertrouwt: jouw vaste transportpartner, jouw bankinstelling, of zelfs jouw baas.

Wie het slachtoffer wordt van dit soort financiële fraude, merkt meestal pas dat er iets fout gelopen is wanneer men een aanmaning ontvangt voor een factuur die men dacht betaald te hebben. Ook verzenders van facturen die onderschept worden, merken meestal pas te laat waarom een betaling van een klant niet op tijd binnenkomt. Je doet er dus best alles aan om niet in de val van spookfacturen te trappen.

In eerste instantie is een goed beveiligde IT-omgeving dan ook onmisbaar in de strijd tegen fraudeurs. Zorg voor een goede firewall, antivirussoftware en antispamfilter die virussen en verdachte mails tegenhouden en meteen op een zwarte lijst zetten. Zorg er ook voor dat criminelen niet met jouw wachtwoorden en die van jouw medewerkers aan de haal kunnen gaan, met behulp van een goed wachtwoordbeleid.

Helaas kan je de zwakste schakel binnen jouw IT-omgeving, de mens, niet met technologie beschermen. Het loont dus de moeite om jouw medewerkers in te lichten over de gevaren van financiële fraude en hen aan te sporen om elke financiële transactie met de nodige argwaan te behandelen. Deze tips lijken evident, maar worden nog al te vaak niet toegepast:

• Dubbelcheck altijd het rekeningnummer op een factuur, bijvoorbeeld door het te vergelijken met het rekeningnummer op de bestelbon. Wees extra waakzaam als je de melding “Opgelet, nieuw rekeningnummer” krijgt en bel bij twijfel even jouw contactpersoon bij jouw leverancier.
• Betaal nooit een factuur zonder te controleren of je bij dat bedrijf wel degelijk iets hebt besteld, ook al komt de vraag van jouw collega of van jouw baas.
• Controleer of het e-mailadres van waaruit de elektronische factuur werd verstuurd, wel correct is. Check of het elektronisch ondertekend is en in geval van twijfel, kan je ook het IP-adres van waaruit de e-mail werd verzonden, nagaan via www.whois.com.
• Hanteer het vier-ogenprincipe bij het goedkeuren van facturen. Laat met andere woorden elke factuur door minstens twee mensen goedkeuren voor de betaling kan gebeuren. Dit kan je ook automatisch laten gebeuren via workflows.

Ook als je zelf facturen elektronisch verstuurt, kan je je wapenen tegen oplichters. Ook hier speelt een goede IT-beveiliging een grote rol. Je kan jouw uitgaande facturen ook extra beveiligen door ze elektronisch te ondertekenen met een certificaat. Dit geeft de ontvanger de garantie dat zowel de e-mail als de inhoud niet werden gemanipuleerd. Gebruik dit certificaat voor elke factuur die je uitstuurt en vraag jouw klanten om telkens te controleren of jouw facturen wel degelijk ondertekend zijn.

Je contacteert best zo snel mogelijk jouw bank en die van de tegenpartij van zodra je vermoedt dat je een vervalste factuur hebt betaald. Mogelijks kan jouw bank de overschrijving nog blokkeren of de rekening van de oplichters blokkeren zodat zij het geld niet meer kunnen afhalen of doorstorten naar een buitenlandse rekening. Meld ook ieder geval van factuurfraude via meldpunt.belgie.be (optie ‘vervalste factuur’). Jouw melding wordt dan automatisch doorgestuurd naar de politie, zodat zij de zaak verder kan onderzoeken. Kan de politie de daders identificeren, dan wordt het dossier overgemaakt aan het gerecht en kan je je burgerlijke partij stellen om jouw geld alsnog te recupereren.

Savaco helpt je graag in het beveiligen van jouw IT-infrastructuur met een uitgebreid security-aanbod. Contacteer ons: we tekenen graag samen met jou een security-roadmap uit, zodat de kans op een incident met valse facturen tot een minimum kan worden herleid.