Waarom ceo-fraude werkt: ‘Je doet gewoon wat de baas vraagt, punt’

Een simpele mail met een dringend verzoek om geld voor een geheime overname kostte Pathé-topvrouw Dertje Meijer en financieel directeur Edwin Slutter de kop. Ze maakten voor ruim 19 miljoen euro over aan ceo-fraudeurs, die zich voordeden als de top van het Franse moederbedrijf. Naïef? Dat is misschien iets te gemakkelijk. ‘Ceo-fraudeurs werken zo geraffineerd, ik snap wel dat je daar intrapt.’ 

Algemeen Dagblad, 11-11-2018

Het leest als een jongensboek, het vonnis van de rechtbank in Amsterdam over de ceo-fraude bij Pathé. Meijer en Slutter ontvangen op 8 maart een e-mail van een fraudeursbende, die zich voordoet als de bestuurder van het Franse hoofdkantoor van Pathé. Er moet snel 826.521 euro overgemaakt worden voor een geheime overname van een bedrijf in Dubai. Het geld zou na de deal worden teruggestort.

Meijer en Slutter hebben hun twijfels over de gang van zaken, maar luisteren naar ‘de baas’, die benadrukt dat de communicatie alleen via zijn persoonlijke e-mail mag verlopen. Ze maken het geld over nadat ze een bevestiging van de overname krijgen, met handtekeningen en al. Die worden nog wel gecontroleerd.

Factuur na factuur

Krap een week later volgt een volgende factuur, dit keer gaat het om dik 2,5 miljoen euro. Meijer verzoekt om telefonisch contact, want er is onvoldoende geld om de aankomende rekeningen te voldoen, maar dat kan niet. Het bedrag wordt overgemaakt. Ook de twee daarop volgende rekeningen worden betaald. Voor de betaling moet geld worden geleend uit de ‘cash-pool’ van het hoofdkantoor in Frankrijk. Dat lukt.

Op 22 maart laat de fraudeursbende weten dat er nog een aanvullend budget nodig is van tussen de vijf en negen miljoen euro voor ‘communication and development’. Opnieuw wordt er geld gevraagd bij het hoofdkantoor, opnieuw met succes. De fraudeurs zien dit keer ruim 5,8 miljoen euro bijgeschreven worden.

Een paar dagen later, een nieuwe mail. Door een ‘difference of funds’ moet er nog een keer miljoenen worden overgemaakt. Een verzoek bij de cash-pool volgt, en er wordt overgemaakt.

In totaal wordt er 19.244.304 euro overgemaakt aan de fraudeurs.

Bij het Franse hoofdkantoor beginnen de alarmbellen te rinkelen. Immers, waar is al dat geld eigenlijk voor nodig? Ze nemen contact op met het Amsterdamse kantoor, waarna de fraude aan het licht komt. Meijer en Slutter worden geschorst en in april ontslagen.

Je wordt als het ware in een soort geheime operatie van het bedrijf getrokken, waarbij je baas zegt dat je snel een groot bedrag moet overboeken

Geraffineerd

Misschien denk je, dat zou mij nooit gebeuren. Maar ceo-fraude is een hele geraffineerde vorm van oplichting, vertelt Martijn van de Beek, directeur van bedrijfsrecherche Hoffmann. ,,Je wordt als het ware in een soort geheime operatie van het bedrijf getrokken, waarbij je baas zegt dat je snel een groot bedrag moet overboeken.’’

Zeker bij organisaties met een grote machtsafstand - zoals bij een hoofdkantoor in Frankrijk of Duitsland - vindt er dan weinig tegenspraak plaats. ,,Dan doe je gewoon wat de baas vraagt, punt.’’

Ceo-fraudeurs doen hun huiswerk. Ze sturen geen mailtjes van het kaliber ‘Uw overleden achterneef in Afrika heeft u geld nagelaten, u moet alleen nog even 5000 euro betalen om alles in gang te zetten’. Ze gebruiken vaak een domeinnaam die vrijwel identiek is aan de officiële domeinnaam van het bedrijf, waardoor het lijkt alsof het om een interne mail gaat. Vrijwel identiek, dus niet helemaal, maar dat maakt vaak niet uit. ,,Als je een domeinnaam hebt met een ‘m’ erin, en je registreert een domeinnaam met ‘rm’ erin, dan lijkt dat optisch vrijwel hetzelfde. Probeer het maar, dat zie je bijna niet’’, legt Van de Beek uit.

Ze weten alles

En dat is nog maar de simpele variant. ,,Ze kunnen ook letterlijk in je systeem zitten via hacking en zo het e-mailadres van je baas overnemen.’’ De oplichters houden soms zelfs het e-mailverkeer in de gaten, zodat ze precies weten hoe mensen elkaar aanspreken. ,,Dan denk je: ‘Dat moet diegene wel zijn, want hij of zij is de enige die mij zo aanspreekt’. Je stelt dan jezelf niet meer de vraag of het allemaal wel in de haak is’’, aldus Van de Beek. ,,Tegen sommige dingen is gewoon geen kruid opgewassen.’’

Volgens Van de Beek moeten bedrijven goed nadenken over hun procedures om veilig te blijven, zoals een extra check wanneer het gaat om grote transacties. ,,Deze vorm van fraude gaat niet uit zichzelf weg, want het is heel lucratief. Je kunt echt de jackpot winnen, en nog relatief eenvoudig ook. Het is een serieus risico, waar je als bedrijf over na zult moeten denken.”

Deze vorm van fraude gaat niet uit zichzelf weg, want het is heel lucratief

Onterecht

Financieel directeur Slutter spande een zaak aan tegen zijn ontslag en won. De aantijgingen dat hij verschillende waarschuwingssignalen had genegeerd, vond de rechter te sterk aangezet. Het ontslag werd teruggedraaid maar het arbeidscontact loopt wel af per 1 december. Het vertrouwen tussen beide partijen is weg. Tot die tijd ontvangt Slutter met terugwerkende kracht salaris.