CEO-fraudeurs: Wat is CEO-fraude & kun je het voorkomen? 

| Leestijd: 5 minuten
Laatst bewerkt: 5 februari 2024

CEO-fraude komt steeds vaker voor, het is namelijk een van de vijf meest voorkomende vormen van externe fraude. Van alle externe fraudegevallen bij bedrijven, is 11 procent deze vorm van cybercrime. In deze blog kom je alles te weten over CEO-fraude en wat je als organisatie hiertegen kan doen. 

Wat is CEO-fraude?

CEO-fraude (of whaling) is een vorm van cybercriminaliteit waarbij een fraudeur een e-mail stuurt vanuit een hooggeplaatste medewerker, zoals een CEO of CFO. Met als doel om mensen geld over te laten maken naar de bankrekening van de fraudeur. CEO-fraude is dus een vorm van betalingsfraude.

Bij een organisatie met veel medewerkers is de kans groter op deze fraudevorm. Dit komt doordat medewerkers elkaar niet altijd persoonlijk kennen in een groot bedrijf en daardoor ook niet altijd direct contact hebben met het hogere management.  

CEO-fraudeur bezig met het en uitvoer brengen van CEO-fraude

Waarom is CEO-fraude zo gevaarlijk? 

CEO-fraudeurs weten precies hoe ze op het slachtoffer moeten inspelen, bijvoorbeeld door gebruik te maken van vertrouwelijkheid en spoed. Zo proberen cybercriminelen betrokkenen onder druk te zetten om geld over te maken, nog voordat er persoonlijk contact is geweest.  

Daarnaast worden cybercriminelen steeds sluwer. Soms zitten er ook mails tussen die bijna niet van echt te onderscheiden zijn. Dit komt doordat deze fraudeurs, wanneer ze erin slagen om toegang te krijgen tot de mailbox van het slachtoffer, direct kunnen zien welk taalgebruik gangbaar is binnen het bedrijf. 

Cyber security awareness verbeteren?

  • Kom te weten wat het kennisniveau van jouw organisatie is!
  • Bescherm je organisatie tegen phishing.
  • Train je medewerkers met E-learning.

Hoe CEO-fraude te herkennen? 

check het e-mailadres


Je kunt CEO-fraude identificeren aan de hand van het e-mailadres, dat mogelijk afwijkt van het daadwerkelijke e-mailadres van je CEO. Wees uiterst zorgvuldig bij het vergelijken van de adressen, want fraudeurs proberen deze zo nauwkeurig mogelijk te laten lijken op het echte e-mailadres. Let goed op elk karakter, hoe klein ook, omdat ze proberen een perfecte match te creëren met het authentieke adres.

let op de aanhef


Daarnaast is het ook goed om te kijken naar de manier waarop de afzender je begroet. Vergelijk dit bijvoorbeeld met eerdere e-mails van je baas. Als je normaal gesproken altijd een ‘hallo’ ontvangt, maar deze keer begint de e-mail met ‘goedendag’, dan zou dit een teken kunnen zijn dat er iets mis is.

is het verzoek urgent?

Is het verzoek urgent? In het geval van deze vorm van fraude staat er vaak een kort tijdsbestek in, denk hierbij aan: binnen 2 uur of voor het eind van deze dag. 

controleer het rekeningnummer


Het is eveneens van essentieel belang om het rekeningnummer van de ontvanger te vergelijken met je eigen gegevens. Als deze gegevens niet overeenkomen, zou dit een indicatie kunnen zijn van mogelijke CEO-fraude.

final check

Bij twijfel check het dan altijd bij jouw CEO of CFO, op deze manier wordt het bijna onmogelijk om toe te slaan voor fraudeurs. 

Een voorbeeld van CEO-fraude in de praktijk 

Hieronder is een voorbeeld te zien van CEO-fraude. Het lijkt hier alsof deze spoedaanvraag is gestuurd door de CEO van het bedrijf. Doordat er in de mail staat dat deze aanvraag met spoed moet worden verwerkt, is de kans groot dat John deze gelijk gaat verwerken zonder eerst persoonlijk contact op te nemen. 

Voorbeeld van CEO-fraudeur die per email probeert om CEO-fraude te plegen.

Wat kan je als organisatie doen tegen CEO-fraude? 

Het is belangrijk dat alle medewerkers van het bedrijf weten wat CEO-fraude is en wat de risico’s zijn. Daarnaast is het handig dat de medewerkers weten hoe ze dit kunnen herkennen. Maar hoe zorg je ervoor dat je medewerkers hier informatie over krijgen? Biedt ze een security awareness training aan van Surelock, waarbij ze alles te weten komen over informatiebeveiliging. Met deze security awareness training verkleinen we de kans op CEO-fraude. 

Daarnaast is het een mogelijkheid om als bedrijf het 4-ogen-principe in te stellen. Dit is een procedure waarbij alle facturen moeten worden bekeken door 2 personen. Hierdoor wordt het voor een fraudeur bijna onmogelijk om een individuele medewerker over te halen tot een spoedbetaling. 

De risico’s van deze vorm van cybercrime 

Het grootste risico van CEO-fraude is financieel verlies. De hoeveelheid verschilt per bedrijf, dit kan verschillen tussen €100,- en 20 miljoen euro. Als een medewerker het verzoek van de oplichter opvolgt en geld overmaakt, kan dit leiden tot financiële schade. Daarnaast kan het slachtoffer worden van CEO-fraudeur ook leiden tot reputatieschade. De klanten en partners kunnen vertrouwen in de organisatie verliezen, wat kan resulteren in verlies van zakelijke kansen.  

Waar CEO-fraude melden? 

CEO-fraude zou je als organisatie kunnen melden bij de Fraude Helpdesk. Met alle informatie die uit deze meldingen komen, kunnen zij de maatschappij beter waarschuwen voor dergelijke praktijken. Daarnaast kunnen ze helpen om verdere schade te voorkomen wanneer er contact op wordt genomen.  

Ook kunt je aangifte doen van het criminele feit bij de politie. Aangifte doen is van groot belang, aangezien de kans dan groter wordt om de daders te vinden. Daarnaast is het belangrijk voor het herkennen van nieuwe vormen van fraude. Hierdoor kunnen andere bedrijven op tijd worden gewaarschuwd voor deze praktijken.  

Conclusie 

CEO-fraude is een vorm van cybercriminaliteit waarbij een fraudeur een e-mail stuurt vanuit een CEO of CFO. Dit wordt tegenwoordig steeds gevaarlijker, aangezien fraudeurs steeds beter weten hoe ze op het slachtoffer moeten inspelen. Er zijn verschillende manieren hoe je een CEO-fraudeur zou kunnen herkennen, zoals een verkeerd e-mailadres of de urgentie van de e-mail. Als organisatie kan je zorgen voor een hoog security awareness niveau, waardoor de medewerkers weten hoe ze deze vorm van cybercrime kunnen herkennen. Risico’s van CEO-fraude zijn financiële schade en reputatieschade. En deze vorm van fraude kan je melden bij Fraude Helpdesk en je kunt aangifte doen bij de politie.  

Cyber security awareness verbeteren?

  • Kom te weten wat het kennisniveau van jouw organisatie is!
  • Bescherm je organisatie tegen phishing.
  • Train je medewerkers met E-learning.
 
Delen: CEO-fraudeurs: Wat is CEO-fraude & kun je het voorkomen? 

Door

- Stefan Schepers
security professional
Man 22 jaar op de foto met een glimlach en blauwe blouse. Medewerker marketing bij Surelock Stefan Schepers

Veel gestelde vragen

Wat is CEO-fraude?

CEO-fraude, ook wel bekend als "whaling," is een vorm van cybercriminaliteit waarbij een oplichter een e-mail verstuurt die lijkt te zijn afkomstig van een leidinggevende medewerker, zoals een CEO of CFO. Het hoofddoel van deze fraude is om mensen te misleiden en hen geld over te laten maken naar de bankrekening van de oplichter. CEO-fraude wordt daarom beschouwd als een vorm van betalingsfraude.

Hoe kun je CEO-fraude voorkomen?

Om te voorkomen dat je slachtoffer wordt van CEO-fraude, zijn er enkele slimme stappen die je kunt nemen. Ten eerste, als je een e-mail krijgt met een verzoek voor financiële transacties of gevoelige info, check dan altijd eerst de echtheid ervan. Bel de persoon in kwestie of gebruik een ander communicatiemiddel om te verifiëren of het verzoek echt is.
Het is ook slim om strikte autorisatieprocedures in te voeren. Zorg ervoor dat er gedocumenteerde stappen zijn voor het goedkeuren van geldtransacties en betrek meerdere mensen bij het proces. Dit verkleint de kans op frauduleuze acties.
Investeer in cybersecuritytraining voor je medewerkers. Leer ze waar ze op moeten letten en hoe ze CEO-fraude kunnen herkennen. Kies bijvoorbeeld voor de security awareness training van Surelock, hierbij worden medewerkers goed getraind om phishing mails en CEO-fraude te kunnen herkennen.
Blijf alert op verdachte signalen zoals rare e-mailadressen, rare taalgebruik en dringende verzoeken. Met deze maatregelen kun je CEO-fraude vermijden en je bedrijf beschermen tegen financiële schade en reputatieproblemen.

Welke bedrijven lopen een risico op CEO-fraude?

Bij een organisatie met veel medewerkers is de kans groter op deze fraudevorm. Dit komt doordat medewerkers elkaar niet altijd persoonlijk kennen in een groot bedrijf en daardoor ook niet altijd direct contact hebben met het hogere management. Dit gebrek aan directe interactie kan het voor aanvallers gemakkelijker maken om geloofwaardige e-mails te creëren die lijken te zijn verzonden door de CEO of andere leidinggevenden, omdat collega's minder bekend zijn met de normale communicatiepatronen en stijl van het hogere management. Het is dus essentieel voor organisaties van alle groottes, maar met name voor grotere bedrijven, om bewustzijn te creëren bij medewerkers en hen te trainen om verdachte e-mails en verzoeken te herkennen en te melden, ongeacht wie de afzender lijkt te zijn. Dit kan helpen bij het verkleinen van het risico op CEO-fraude.

Ik heb een bestand geopend van een mogelijke CEO-fraudeur; wat nu?

Als je per ongeluk een bestand hebt geopend van een mogelijke CEO-fraudeur, is het cruciaal om onmiddellijk actie te ondernemen. Hier zijn de stappen die je moet nemen:
Ten eerste, stop onmiddellijk verdere interactie met de afzender. Sluit het geopende bestand en verbreek alle contact met de persoon of entiteit achter de verdachte e-mail. Dit kan verdere schade helpen voorkomen.
Daarnaast is het van groot belang om het incident intern te melden binnen je organisatie. Neem contact op met de relevante afdelingen, zoals de IT-afdeling of het beveiligingsteam, en geef gedetailleerde informatie over wat er is gebeurd. Zij kunnen de situatie onderzoeken, mogelijke risico's beoordelen en passende maatregelen nemen.
Tot slot, zorg ervoor dat je de verdachte e-mail verwijdert. Verplaats deze niet naar je prullenbak, maar verwijder deze permanent om te voorkomen dat je er later per ongeluk op klikt.
Het snel en adequaat handelen is van groot belang om mogelijke schade te minimaliseren en de veiligheid van je organisatie te waarborgen.