U heeft wellicht reeds gehoord van CEO-fraude. Maar bent u er zich ook van bewust dat niet alleen grote ondernemingen het slachtoffer worden van deze vorm van oplichting?
Wat is CEO-fraude precies?
Een medewerker van de financiële dienst ontvangt een ‘valse’ e-mail of telefoon in naam van de CEO, de CFO, een bestuurder of een andere persoon met een hoge functie binnen het bedrijf. Hij krijgt de vraag om dringend een aanzienlijk bedrag over te schrijven in het kader van een belangrijke transactie. Er wordt druk op hem uitgeoefend om de betaling dringend uit te voeren, zoniet kan de belangrijke transactie niet doorgaan.
Tijdsdruk is hier dus belangrijk, maar ook de gezagsverhouding. De persoon die wordt benaderd, ervaart de druk van een persoon hoger in rang en durft minder vragen te stellen gezien het om een hogergeplaatst persoon gaat.
Ook wordt hij vaak gewaarschuwd om de vertrouwelijkheid van de transactie te respecteren. In bepaalde gevallen wordt ook een advocatenkantoor of een boekhoudkantoor vermeld om de vraag echter te doen lijken.
De uitvoering van de betaling wijkt in dat geval ook af van het normale betalingsproces binnen het bedrijf.
Om de oplichting tot een succesvol einde te brengen, heeft de oplichter informatie kunnen verzamelen hoe uw organisatie in elkaar zit, hoe de betalingsprocessen verlopen en wie best benaderd wordt en op welke manier.
Cybercriminelen kunnen een e-mailadres vervalsen door een adres te gebruiken dat er sterk op lijkt. Daarnaast kunnen zij exact hetzelfde e-mailadres gebruiken omdat zij het adres hebben gehackt en daarmee het e-mailadres van de respectieve personen hebben overgenomen.
Hoe CEO-fraude te voorkomen?
Beperk informatie online
De informatie die online beschikbaar is op bijvoorbeeld de bedrijfswebsite, maakt het eenvoudiger voor de oplichters om zich voor te bereiden. Als het bijvoorbeeld mogelijk is om online te achterhalen wanneer de financieel directeur met vakantie is of welke relaties er bestaan met leveranciers, dan kan u - mits online zoekopdrachten en een minimum aan investering van tijd en inspanning - gemakkelijk een target worden. Bovendien benaderen de fraudeurs vaak medewerkers per e-mail of telefoon met allerhande vragen.
Bekijk dus welke informatie u online deelt (via het internet, de bedrijfswebsite, social media) en verwijder alle informatie die niet nodig is, bijvoorbeeld rechtstreekse contactgegevens van uw medewerkers, detailinformatie van uw organisatie, enz. Maak uw medewerkers erop attent dat er geen informatie gedeeld wordt met onbekenden.
Beveilig de toegang tot uw e-mails
Het is raadzaam om ‘multifactor authenticatie’ te implementeren voor uw bedrijfsmails. Zo reduceert u het risico op hacken van de e-mailaccounts. Sensibiliseer ook uw medewerkers rond cybersecurity thema’s, zoals sterke paswoorden, phishing e-mails, en dergelijke meer. Ook regelmatige paswoordwijzigingen zijn cruciaal.
Creëer interne bewustwording en implementeer een goed interne controlesysteem
Breng uw personeelsleden op de hoogte van het bestaan van dit risico en benadruk hun verantwoordelijkheid om de interne processen te volgen.
Bij aanvragen vanuit de leverancier om wijzigingen uit te voeren op facturen of rekeningnummers, moeten zij voldoende alert zijn en de nodige vragen stellen. Leveranciers dienen rechtstreeks gecontacteerd te worden en niet via een link die meegegeven wordt in de e-mail of via een nieuw telefoonnummer.
Zelfs indien er geen wijziging wordt gevraagd aan een factuur, is het altijd een goede praktijk om:
- waakzaam te blijven en argwanend te zijn als er per e-mail wordt gevraagd om betalingstransacties uit te voeren. Laat je niet misleiden door zogenaamd strikt geheime transacties in verband met bijvoorbeeld overnames.
- onregelmatigheden te checken, zoals wijzigingen aan leveranciersnaam, adres, factuurbedrag, rekeningnummer. Implementeer een call-back procedure bij wijziging van bankrekeningnummers.
- het rekeningnummer van de leverancier op de factuur te checken met het reeds gekende nummer in de leveranciersdatabase
- informatie te verschaffen aan de leverancier dat een betaling is uitgevoerd
- functiescheidingen te implementeren tussen bijvoorbeeld inboeking factuur, registratie ontvangst, goedkeuring factuur en betaling factuur
- afspraken te maken en functiescheiding te installeren rond creatie leverancier en wijziging bankrekeningnummers
- duidelijke afspraken te maken rond het betalingsproces en welke acties te ondernemen bij afwijkingen
- betalingen boven een bepaald bedrag door meerdere personen te laten ondertekenen
- telefonisch contact op te nemen met de leveranciers indien er onduidelijkheden zijn
- e-mailadressen goed te checken
- een open bedrijfscultuur te installeren zodat steeds intern vragen kunnen gesteld worden bij twijfel
- fraude bespreekbaar te maken en trainingen te organiseren.
Het risico op CEO-fraude blijft toenemen. Dus ook u kan het slachtoffer worden!
Heeft u vragen, aarzel niet om contact op te nemen met onze experts. Grant Thornton Advisory kan uw processen en huidige interne controlesysteem doorlichten en aanbevelingen formuleren ter verbetering hiervan.
