088-2404250 [email protected]

Volgens het FD van 10 december jl. staan de gegevens van zeker 1.300 Nederlandse CFO’s op een lijst van de hackersgroep London Blue. Als u dit een schokkend aantal vindt, dan wordt het nog erger. Deze Nigeriaans-Engelse hackers hebben volgens cybersecuritybedrijf Agari een internationale lijst samengesteld van meer dan 50.000 “high profile targets”, waarvan 71% de titel van CFO heeft. De lijst wordt gebruikt voor phishing en spoofing campagnes, zoals bijvoorbeeld dit jaar nog de CEO fraude bij Pathé Nederland met een schade van ruim € 19 miljoen.

Eigen ervaringen

Bij CFO netwerk delen de partners hun kennis en ervaringen zodat wij opdrachtgevers nog beter van dienst kunnen zijn. Tijdens één van deze sessies kwam onlangs aan de orde dat ook een van onze CFO’s was benaderd met een e-mail afkomstig van zijn Algemeen directeur met het verzoek met spoed € 50.000,- over te boeken naar een onbekende bankrekening. Het was een ongewoon verzoek binnen het kader van de gemaakte afspraken en de gebruikelijke gang van zaken. Dit deed hem besluiten direct rechtstreeks contact op te nemen met de Algemeen directeur, ondanks het zeer dwingende karakter van de betalingsopdracht in de ontvangen e-mail, die niet van echt was te onderscheiden

Wie is een mogelijk doelwit?

U zult denken: “dat kan bij mijn organisatie niet gebeuren”, of “dat gebeurt alleen bij grote internationale bedrijven”. Niets is minder waar, zo laat het hierboven genoemde incident zien. Ook van MKB- en MKB+-ondernemingen zijn voor fraudeurs bijvoorbeeld via LinkedIn relatief eenvoudig de namen en mailadressen van de verantwoordelijke personen te achterhalen. Het komt immers maar al te vaak voor dat een verzoek om te linken (te) makkelijk wordt geaccepteerd zonder te controleren of de verzoeker bekend, relevant of bonafide is.
Wel is het zo dat bij een platte organisatie met een informele cultuur het moeilijker is de betrokken financial te misleiden. Het risico is hoger bij een grote (internationale) organisatie met veel managementlagen, of bij een hiërarchische organisatie met een autoritaire gezagsstructuur. In de fraudemails wordt vaak grote druk op de financial uitgeoefend met dwingende opdrachten die geen tegenspraak dulden. Of er wordt gezinspeeld op de vertrouwelijkheid van de transactie, zoals bijvoorbeeld bij Pathé Nederland voor een geheime overname. De financial moet stevig in zijn schoenen staan om bij een autoritaire of op afstand staande CEO te informeren of de betaalopdracht wel klopt. Zeker met het risico dat een Trumpiaanse reactie als “you’re fired” het gevolg is van zijn goede intenties.

8 Tips hoe het risico op CEO fraude verminderen?

  1. Alertheid begint bij het bekend en bespreekbaar maken van deze fraudevorm bij het management en bij medewerkers die betrokken zijn bij betalingen. Dit vergroot de kans op herkenning van ongewone berichten.
  2. Spreek af hoe intern om te gaan met betalingsverzoeken die uitzonderingen vormen op de normale procedures.
  3. Controleer ongewone betalingsverzoeken door contact op te nemen met de aanvrager uit de organisatie, ook bij aanvankelijk kleinere bedragen.
  4. Wees alert op de mogelijkheid van spoofing (identiteitsfraude). De “reply” knop in de verdachte e-mail zal ook bewerkt zijn en de financial met zijn vraag om toelichting rechtstreeks naar de valse opdrachtgever leiden.
  5. Maak voorts afspraken wie in de organisatie nieuwe bankrekeningnummers mogen aanmaken en betalingen mogen initiëren.
  6. Leg de bevoegdheid tot autorisatie van de betaling bij anderen in de organisatie. Daarmee bereikt u functiescheiding in het betaalproces.
  7. Wees daarnaast altijd alert op soms zeer kleine afwijkingen in het foutieve emailadres van de aanvrager (phishing mails).
  8. Ook nieuwe bankrekeningnummers voor betalingen naar landen of bedrijven die ongebruikelijk zijn voor de bestaande business verdienen bijzondere aandacht.

Tot slot?

CEO fraude neemt toe en kan ook uw organisatie treffen. Bewustwording, alertheid en een goede functionele inrichting van de betaalprocessen dragen bij aan een verminderde kwetsbaarheid. Naast de inrichting van de interne controle kan ook de leiderschapsstijl en de benaderbaarheid van de eindverantwoordelijke leidinggevende een rol spelen. In alle gevallen is het aan te bevelen vooraf heldere afspraken te maken hoe en via wie de communicatie dient te verlopen bij ongewone betaalverzoeken.
We hebben een aantal algemene aandachtspunten en maatregelen beschreven, zonder hier uitputtend te willen en kunnen zijn. De partners van CFO netwerk zijn graag bereid met u na te denken over oplossingen die passen bij uw organisatie.

Edwin Bosma Partner CFO netwerk