Nieuws Cybersecurity
Ceo-fraude kost Pathé 19 miljoen euro. Zo kun je dat voorkomen
Een simpele mail met een dringend verzoek om geld voor een geheime overname kostte Pathé-topvrouw Dertje Meijer en financieel directeur Edwin Slutter de kop, schrijft AD. Ze maakten voor ruim 19 miljoen euro over aan ceo-fraudeurs, die zich voordeden als de top van het Franse moederbedrijf. Naïef? Dat is misschien iets te gemakkelijk. ‘Ceo-fraudeurs werken zo geraffineerd, ik snap wel dat je daar intrapt.’

Het leest als een jongensboek, het vonnis van de rechtbank in Amsterdam over de ceo-fraude bij Pathé. Meijer en Slutter ontvangen op 8 maart een e-mail van een fraudeursbende, die zich voordoet als de bestuurder van het Franse hoofdkantoor van Pathé. Er moet snel 826.521 euro overgemaakt worden voor een geheime overname van een bedrijf in Dubai. Het geld zou na de deal worden teruggestort.
Twijfel
Meijer en Slutter hebben hun twijfels over de gang van zaken, maar luisteren naar ‘de baas’, die benadrukt dat de communicatie alleen via zijn persoonlijke e-mail mag verlopen. Ze maken het geld over nadat ze een bevestiging van de overname krijgen, met handtekeningen en al. Die worden nog wel gecontroleerd.
Lees ook: Zo voorkom je fraude met domeinnamen
Krap een week later volgt een volgende factuur, dit keer gaat het om dik 2,5 miljoen euro. Meijer verzoekt om telefonisch contact, want er is onvoldoende geld om de aankomende rekeningen te voldoen, maar dat kan niet. Het bedrag wordt overgemaakt. Ook de twee daarop volgende rekeningen worden betaald. Voor de betaling moet geld worden geleend uit de ‘cash-pool’ van het hoofdkantoor in Frankrijk. Dat lukt.
Miljoenen bijgeschreven
Op 22 maart laat de fraudeursbende weten dat er nog een aanvullend budget nodig is van tussen de vijf en negen miljoen euro voor ‘communication and development’. Opnieuw wordt er geld gevraagd bij het hoofdkantoor, opnieuw met succes. De fraudeurs zien dit keer ruim 5,8 miljoen euro bijgeschreven worden.
Lees ook: Hoffmann Bedrijfsrecherche: particuliere speurneuzen met omzet van 8,5 miljoen
Een paar dagen later, een nieuwe mail. Door een ‘difference of funds’ moet er nog een keer miljoenen worden overgemaakt. Een verzoek bij de cash-pool volgt, en er wordt overgemaakt.
In totaal wordt er 19.244.304 euro overgemaakt aan de fraudeurs.
Alarmbellen
Bij het Franse hoofdkantoor beginnen de alarmbellen te rinkelen. Immers, waar is al dat geld eigenlijk voor nodig? Ze nemen contact op met het Amsterdamse kantoor, waarna de fraude aan het licht komt. Meijer en Slutter worden geschorst en in april ontslagen.
Misschien denk je, dat zou mij nooit gebeuren. Maar ceo-fraude is een hele geraffineerde vorm van oplichting, vertelt Martijn van de Beek, directeur van bedrijfsrecherche Hoffmann. ,,Je wordt als het ware in een soort geheime operatie van het bedrijf getrokken, waarbij je baas zegt dat je snel een groot bedrag moet overboeken.’’
Machtsafstand
Zeker bij organisaties met een grote machtsafstand - zoals bij een hoofdkantoor in Frankrijk of Duitsland - vindt er dan weinig tegenspraak plaats. ,,Dan doe je gewoon wat de baas vraagt, punt.’’
Vrijwel identiek
Ceo-fraudeurs doen hun huiswerk. Ze sturen geen mailtjes van het kaliber ‘Uw overleden achterneef in Afrika heeft u geld nagelaten, u moet alleen nog even 5000 euro betalen om alles in gang te zetten’. Ze gebruiken vaak een domeinnaam die vrijwel identiek is aan de officiële domeinnaam van het bedrijf, waardoor het lijkt alsof het om een interne mail gaat. Vrijwel identiek, dus niet helemaal, maar dat maakt vaak niet uit. ,,Als je een domeinnaam hebt met een ‘m’ erin, en je registreert een domeinnaam met ‘rm’ erin, dan lijkt dat optisch vrijwel hetzelfde. Probeer het maar, dat zie je bijna niet’’, legt Van de Beek uit.
En dat is nog maar de simpele variant. ,,Ze kunnen ook letterlijk in je systeem zitten via hacking en zo het e-mailadres van je baas overnemen.’’ De oplichters houden soms zelfs het e-mailverkeer in de gaten, zodat ze precies weten hoe mensen elkaar aanspreken. ,,Dan denk je: ‘Dat moet diegene wel zijn, want hij of zij is de enige die mij zo aanspreekt’. Je stelt dan jezelf niet meer de vraag of het allemaal wel in de haak is’’, aldus Van de Beek. ,,Tegen sommige dingen is gewoon geen kruid opgewassen.’’
Veilige procedures
Volgens Van de Beek moeten bedrijven goed nadenken over hun procedures om veilig te blijven, zoals een extra check wanneer het gaat om grote transacties. ,,Deze vorm van fraude gaat niet uit zichzelf weg, want het is heel lucratief. Je kunt echt de jackpot winnen, en nog relatief eenvoudig ook. Het is een serieus risico, waar je als bedrijf over na zult moeten denken.”
Financieel directeur Slutter spande een zaak aan tegen zijn ontslag en won. De aantijgingen dat hij verschillende waarschuwingssignalen had genegeerd, vond de rechter te sterk aangezet. Het ontslag werd teruggedraaid maar het arbeidscontact loopt wel af per 1 december. Het vertrouwen tussen beide partijen is weg. Tot die tijd ontvangt Slutter met terugwerkende kracht salaris.
Ceo-fraude kan zeer geraffineerd zijn. Dit kun je ertegen doen.
- Maak je medewerkers attent op deze fraudevorm. Spreek af nooit op basis van een telefoontje of e-mailtje grote bedragen over te boeken.
- Benadruk dat het van groot belang is je te allen tijde aan de bestaande werkafspraken te houden.
- Wordt er vaker een grote overboeking geplaatst, spreek dan procedures af over hoe een opdracht gecheckt kan worden.
- Wees extra alert op verzoeken om grote sommen geld over te maken, zeker als het geld naar een buitenlandse rekening gaat.
- Betrek bij twijfel of bij grote bedragen je directe leidinggevende. Dat zou immers ook de meest logische persoon zijn van wie een dergelijke opdracht zou komen.