CEO-fraude is serious business, ook voor de CFO

Dit artikel is geplaatst op Executive Finance op 24 januari 2019.

CEO-fraude blijft toenemen, zowel in aantallen als wat betreft de omvang. Ook CFO’s lopen gevaar. Hoe groot is de kans dat zij ermee te maken krijgen? En, hoe dit te voorkomen? “Gedrag is de sleutel.”

‘Hoi Ard, We moeten een bedrag van € 18,975 naar Engeland sturen. Welke informatie heb je nodig om het voor elkaar te krijgen? Dank je, Erik.’

Ard Laan, financieel manager bij DearBytes, een in cybersecurity gespecialiseerd IT-bedrijf, kreeg in de zomer van vorig jaar een mailtje van Erik, zijn baas. Zo op het eerste gezicht een gewoon berichtje. Toch vielen hem al snel een aantal dingen op. “Als je bij een bedrijf als dit werkt ben je natuurlijk extra alert.” Zijn oog viel onder meer op het merkwaardige e-mailadres van de afzender: ceoexecs@naver.com en op de afwijkende voettekst. Bovendien: deze manier van communiceren was binnen DearBytes niet gebruikelijk.

Van de Beek: “Vaak maken de oplichters gebruik van de gezagsverhoudingen.”

Het verzoek lijkt echt, maar is fake

Waarschijnlijk een poging tot oplichting, vreesde Laan – CEO-fraude om precies te zijn. Een ‘CEO’ of een (andere) ‘manager’ van een bedrijf vraagt een van zijn medewerkers via de mail geld over te maken naar een bepaalde, vaak buitenlandse bankrekening. Het verzoek lijkt echt, maar is fake, afkomstig van oplichters. Om de identiteit van de afzender en diens werkwijze te achterhalen, speelde DearBytes het spel mee. De mail was verzonden vanuit de Nigeriaanse hoofdstad Lagos door ene Gabriel Oyeyemi, ontdekte het bedrijf. Het e-mailadres van Laan en de gegevens van DearBytes waren waarschijnlijk van internet geplukt. Na enkele berichten over en weer, stopte het e-mailverkeer. Kennelijk roken de fraudeurs onraad.

CFO’s worden regelmatig het slachtoffer

Laan trapte er niet in – een in het bestrijden van cybercrime gespecialiseerd bedrijf proberen op te lichten middels cybercrime is ook niet echt handig. Maar vaak lukt het wel. Ook CFO’s en andere financiële managers worden regelmatig slachtoffer, zowel indirect – het betalingsverzoek is zogenaamd van de CFO afkomstig – als direct. Bij dat laatste ontvangt de CFO zelf een verzoek geld over te maken, bijvoorbeeld van de CEO of vanuit de holding. Hoeveel gevaar lopen financial executives? En hoe is deze fraude te voorkomen?

Al in 2016 raakte CEO-fraude in zwang

Vooropgesteld: spiksplinternieuw is CEO-fraude niet meer. Al in 2016 raakte deze vorm van oplichting in Nederland in zwang. Maar het aantal meldingen en de omvang van de schade neemt nog steeds toe, van respectievelijk 135 en 650.000 euro in 2016 naar 255 en 2,8 miljoen euro vorig jaar. Die cijfers zijn afkomstig van de Fraudehelpdesk, een organisatie die burgers en bedrijven wil behoeden voor oplichtingspraktijken. Ze vormen waarschijnlijk slechts het topje van de ijsberg. Lang niet alle gevallen worden gemeld. Dat gold ook voor de CEO-fraude bij bioscoopketen Pathé, die onlangs alle media haalde en waarmee liefst 19 miljoen euro was gemoeid.

CFO’s worden regelmatig het slachtoffer

Laan trapte er niet in – een in het bestrijden van cybercrime gespecialiseerd bedrijf proberen op te lichten middels cybercrime is ook niet echt handig. Maar vaak lukt het wel. Ook CFO’s en andere financiële managers worden regelmatig slachtoffer, zowel indirect – het betalingsverzoek is zogenaamd van de CFO afkomstig – als direct. Bij dat laatste ontvangt de CFO zelf een verzoek geld over te maken, bijvoorbeeld van de CEO of vanuit de holding. Hoeveel gevaar lopen financial executives? En hoe is deze fraude te voorkomen?

Werkelijke aantal gevallen van CEO-fraude ligt veel hoger

Het werkelijke aantal gevallen van CEO-fraude ligt dan ook waarschijnlijk nog veel hoger. “Misschien wel tien keer zo hoog,” schat Tanya Wijngaarde, woordvoerder bij de Fraudeheldesk. “Veel getroffen bedrijven en organisaties vinden het toch gênant om ermee naar buiten te komen.” Hoe vaak er CFO’s bij deze gemelde gevallen betrokken waren, weet Wijngaarde niet. Dat wordt niet apart geturfd. Wel werd eind vorig jaar bekend dat er zeker 1.300 Nederlandse CFO’s op een lijst staan van hackersgroep London Blue. Deze internationale bende is gespecialiseerd in CEO-fraude. De meeste van deze CFO’s werken voor banken en financiële dienstverleners, maar ook voor ICT-bedrijven, retailers, voedingsproducenten en logistieke ondernemingen.

In overleg met CEO voldeed CFO aan het verzoek

De CFO van Pathe ontving mails van de CEO van het Franse moederbedrijf met daarin het verzoek geld over te maken naar een bedrijf in Dubai in verband met een overname.

Ook bij de fraude bij Pathé was een CFO doelwit. Hij ontving mails van de CEO van het Franse moederbedrijf van Pathé met daarin het verzoek geld over te maken naar een bedrijf in Dubai in verband met een overname. Deze aankoop was vertrouwelijk en mocht niet uitlekken. Vandaar dat het moederconcern had besloten de financiering via Nederland te laten lopen. In overleg met de Nederlandse CEO voldeed de CFO aan de verzoeken. Nadat de fraude aan het licht kwam, werden beide bestuurders ontslagen. De CFO spande daarop een kort geding aan tegen Pathé.

Rechtbank verklaarde ontslag ongegrond

De rechtbank verklaarde het ontslag ongegrond. Er was geen sprake van verwijtbaar handelen; ook het moederbedrijf had zijn zaakjes niet op orde. De CFO kon bijvoorbeeld zomaar miljoenen euro’s lenen uit de cashpool van de holding zonder te melden waarvoor dit nodig was. Wel kreeg Pathé toestemming de arbeidsrelatie te beëindigen. Een meer kritische houding was op zijn plaats geweest, luidde het vonnis.

Voorkomen en herkennen is essentieel

In de Pathé-casus was de CFO het doelwit. Dat is vrij uitzonderlijk. Meestal krijgt de financiële topman indirect met CEO-fraude te maken, bijvoorbeeld doordat een van zijn medewerkers een vreemd betalingsverzoek heeft ontvangen. Het voorkomen en herkennen van deze vorm van oplichting is voor de CFO en zijn team dan ook essentieel.

Oplichters maken gebruik van gezagsverhoudingen

Maar, hóe is CEO-fraude te herkennen? Vaak maken de oplichters gebruik van de gezagsverhoudingen. “De afzender zit hoog in de pikorde, de medewerker die het betalingsverzoek ontvangt, werkt ergens ver van hem vandaan. Rechtstreeks contact opnemen wordt vaak niet op prijs gesteld, dat wordt zelfs als ongepast ervaren. Je doet wat er van je wordt gevraagd,” schetst Martijn van de Beek. Hij is directeur van Hoffmann Bedrijfsrecherche, een bedrijf dat regelmatig wordt ingeschakeld bij CEO-fraudes, ook preventief.

De oplichter benadrukt dat vertrouwelijkheid van groot belang is

De zogenaamde CEO benadrukt dat vertrouwelijkheid van groot belang is. De opdracht mag niet gedeeld worden met collega’s. Ook wordt de medewerker de hemel in geprezen. Hij is uitverkoren vanwege zijn ‘uitzonderlijke’ kwaliteiten; de bal ligt nu bij hem, híj bepaalt of de ‘geheime’ – overname, investering – slaagt. En er is haast geboden. Van de Beek: “Het bedrijf is bijvoorbeeld beursgenoteerd, de transactie is koersgevoelig, er bestaat gevaar voor uitlekken. Of er zijn harde deadlines: het geld moet dan en dan binnen zijn, anders gaat de deal niet door.”

Valse e-mails bieden zelf vaak aanknopingspunten

Daarnaast bieden de valse mails zelf vaak aanknopingspunten: het adres klopt niet, of beter gezegd: niet helemaal, er staat bijvoorbeeld een letter verkeerd. Vaak mankeert er iets aan het taalgebruik: er zitten fouten in de tekst – een vreemd lidwoord of een rare spelfout. Soms ook is het taalgebruik té goed. Een medewerker van een klant van Hoffmann kreeg bijvoorbeeld een betaalverzoek uit Duitsland in foutloos Nederlands. Dat wekte zijn argwaan; die bleek terecht.

Bedrijven trekken pas aan de bel als het te laat is

Vaak trekken bedrijven bij CEO-fraudes pas aan de bel als al te laat is. Goede afspraken kunnen dit grotendeels voorkomen. Bijvoorbeeld de afspraak om nooit grote bedragen over te boeken op basis van een telefoontje of e-mail. Zorg dat medewerkers sowieso alert zijn op verzoeken om grote sommen over te maken, helemaal als dit geld naar het buitenland moet. Wordt er vaker een grote overboeking gedaan, spreek dan procedures af over hoe een opdracht gecheckt kan worden. Bij grote bedragen of twijfel de directe leidinggevende betrekken, is sowieso raadzaam. En minstens zo belangrijk: dat iedereen zich aan die afspraken houdt.

Lees verder op de website van Executive Finance. Daarin vertelt Inge Wetzer, sociaal psycholoog cybersecurity & compliance binnen Hoffmann dat je de focus op de mens en het gedrag moet leggen.