Werkgevers/
Werknemers
Slachtoffer van CEO-fraude
Werk en carriere5 min lezen

Slachtoffer van CEO-fraude? 'Alle alarmbellen moeten rinkelen'

De baas van je bedrijf stuurt een e-mail met een duidelijke opdracht: je moet geld overmaken en er is haast bij. Voordat je het weet, heb je een enorm bedrag overgemaakt naar de rekening van criminelen. De e-mail van de CEO was namelijk hartstikke nep.


Foto: Inge van der Beijl, cyberpsycholoog bij beveiligingsbedrijf Northwave Security. Fotografie: David Stegenga.

Als dit gebeurt, ben je het slachtoffer van CEO-fraude. 'Een crimineel probeert uit naam van een CEO een medewerker een handeling te laten verrichten waar die crimineel beter van wordt', vertelt Inge van der Beijl, cyberpsycholoog bij beveiligingsbedrijf Northwave Security. 'Dat kan gaan om geld, maar ook om informatie.'

Mensen trappen hierin, omdat een autoriteit de vraag stelt en er vaak een gevoel van urgentie wordt gecreëerd. 'Het is bijvoorbeeld vrijdagmiddag vijf uur, en de CEO heeft nog snel dit of dat nodig. Of je dat even wil regelen. Mensen denken dan snel: Ik wil helpen en ondersteunen.'

In de media verschijnen voornamelijk berichten van grote partijen die slachtoffer worden. De gemeente Alkmaar werd bijvoorbeeld in 2023 getroffen door CEO-fraude en heeft 236.000 euro overgemaakt. Maar ook kleine bedrijven, stichtingen en verenigingen zijn doelwit. Bij grote bedrijven hebben criminelen alleen meer kans. 'Als een organisatie groter is en er veel meer medewerkers zijn, weet je niet precies met wie je te maken hebt', zegt Van der Beijl. Daarnaast is er bij grote bedrijven natuurlijk meer geld te vinden.

Oplichters worden slordiger

De Fraudehelpdesk merkt gelukkig een daling van het aantal meldingen van CEO-fraude. 'Waar die daling precies in zit, weten we niet zeker', vertelt Tanya Wijngaarde, persvoorlichter van de Fraudehelpdesk. 'Maar wat we de laatste tijd wel zien, is dat de oplichters slordiger worden.' Zo worden sommige e-mails verzonden vanaf een Gmail-adres. 'In dergelijke verzoeken om geld trapt vrijwel niemand en mensen vinden het dan niet de moeite van het melden waard.'

Aan de andere kant worden aanvallen met behulp van AI juist steeds geloofwaardiger. Meestal wordt CEO-fraude via e-mail uitgevoerd, maar door AI wordt het makkelijker om stemmen en zelfs gezichten te gebruiken. Ali Nikman, CEO van Bunq, schreef vorig jaar op LinkedIn hoe zijn gelijkenis werd gebruikt voor een poging tot CEO-fraude: 'Ik was oprecht verrast door hoe overtuigend mijn deepfake-dubbelganger was.'

Als medewerker moet je al sterk in je schoenen staan om weerstand te bieden aan een opdracht van een CEO in een e-mail. 'Als er dan sprake is van een stemgeluid of een combinatie van stem en video, dan is dit nog veel ingewikkelder', stelt Van der Beijl. 'De technologie gaat hard.'

De Fraudehelpdesk ziet nog geen concrete aanwijzingen over het gebruik van AI bij binnengekomen meldingen over CEO-fraude. 'Maar we zien wel dat in het buitenland succesvol AI is gebruikt om overtuigend over te komen', vertelt Wijngaarde. 'The Wall Street Journal meldde bijvoorbeeld dat oplichters een Brits energiebedrijf 220.000 euro afhandig maakten met behulp van deze techniek. De nagebootste stem van de Duitse 'CEO' was niet van de echte stem te onderscheiden.'

De tekst gaat verder onder de vacatures.

Alarmbellen rinkelen

Om jezelf te weren tegen CEO-aanvallen is het volgens Van der Beijl allereerst belangrijk dat medewerkers zich bewust zijn van het feit dat dit soort aanvallen bestaan. 'Als jou een vraag wordt gesteld waar urgentie achter zit en autoriteit een rol bij speelt, dan moeten alle alarmbellen gaan rinkelen. Je moet dan uit de conversatie stappen en bijvoorbeeld bellen met degene die jou vragen stelt. Mocht dat te spannend of te ingewikkeld zijn, loop dan de officiële processen door die zijn opgesteld in de organisatie.'

Naast financiële schade is er bij succesvolle CEO-fraude ook sprake van reputatieschade. En  slachtoffers kunnen achterblijven met mentale schade. 'Op het moment dat je persoonlijk benaderd denkt te zijn door een CEO en je reageert daarop, dan blijf je met een ongelooflijk rotgevoel zitten. Dan ligt het aan het bedrijf hoe dat ermee omgaat. Als er een schuldcultuur of een taakcultuur heerst, dan wordt er vaak harder en persoonlijker op dit soort dingen gereageerd.' Maar net als bij phishing kan ook iedereen hierin trappen. 'Je kunt het mensen bijna niet kwalijk nemen.'

Van der Beijl hoopt vooral dat er meer openheid komt over dit soort cyberaanvallen bij bedrijven. 'Cybercriminaliteit groeit hard en het is iets wat bij heel veel mensen gebeurt. Zolang we daar niet open over communiceren, kun je jezelf er ook slecht tegen weren.’


Afbeelding van de auteur

Erwin Vogelaar