CEO-fraude bij gemeenten neemt toe

Vertrouw niet iedere persoon die in een mail of een appje claimt dat hij of zij de burgemeester, gemeentesecretaris of een directielid is. CEO-fraude onder gemeenten neemt toe, waarschuwt de informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse gemeenten (VNG). Er zijn vooralsnog geen meldingen van het namaken van voiceberichten. Om authentiek over te komen, maken de fraudeurs liever gebruik van openbare informatie, bijvoorbeeld van LinkedIn. 

Crimineel doet zich voor als organisatielid

In de afgelopen twaalf maanden ontving de IBD 59 meldingen over phishing. Voor een groot deel betrof het pogingen tot CEO-fraude. Bij CEO-fraude doet een crimineel zich voor als iemand uit de organisatie. In de meeste gevallen draagt de oplichter een financieel medewerker in een mail op om een bedrag over te maken naar een rekening. Uiteraard is er haast bij, en is de overboeking ‘vertrouwelijk’. Soms leidt dit er toe dat de medewerker onder druk het bedrag overmaakt.

176.000 euro buitgemaakt

‘Vaak zien we dat criminelen een campagne per sector uitvoeren,’ zegt Remco Groet, strategisch adviseur bij de IBD. ‘Ze sturen dezelfde e-mail naar honderd overheidsorganisaties in de hoop dat er enkele happen. Daarbij maken ze gebruik van open bronnen. Informatie op LinkedIn is een goudmijn voor ze.’ De cybercriminelen slagen regelmatig in hun opzet. Zo meldt de Brabantse gemeente Meierijstad het schip te zijn ingegaan voor 37.000 euro. In maart raakte Krimpen aan de IJssel maar liefst 176.000 euro kwijt aan CEO-fraude.

Korte, urgente mail van een vreemd emailadres

De IBD zet de kenmerken van een dergelijk bericht op een rij. Is er sprake van een korte email, met een urgente toon die de medewerker aanspoort om de procedures niet te volgen? Dan is het raadzaam om alert te zijn. Gaat het om een persoonlijk emailadres, in ieder geval geen emailadres van de gemeente zelf? Dan is dubbele raadzaamheid geboden. En wordt gevraagd om naar een onbekende (buitenlandse) rekening geld over te maken? Bingo, u heeft te maken met een poging tot CEO-fraude.

Geen meldingen van voice cloning

Van pogingen tot voice cloning, waarbij de stem van een directielid met behulp van kunstmatige intelligentie wordt nagemaakt, heeft de IBD nog geen meldingen gekregen. ‘We zijn een klein taalgebied. Als Amerikaanse ceo zou ik me meer zorgen maken,’ zegt Groet. Desondanks is het verstandig om alert te zijn op telefoontjes waarin een meerdere aandringt op het snel overmaken van een geldbedrag. Het is zeker mogelijk om op deze manier organisaties op te lichten, ook in het Nederlands.

Vakantiegeld innen

Phishing vindt niet alleen vaak per sector plaats, maar is ook seizoensgebonden. Nu veel organisaties vakantiegeld hebben uitgekeerd, is de salarisadministratie een extra dankbaar doelwit. Groet: ‘Criminelen doen zich voor als een medewerker die zogenaamd een nieuw rekeningnummer heeft, vlak voordat het salaris plus vakantiegeld wordt gestort. Een week later hangt de echte collega aan de lijn, met de vraag waar het salaris van mei blijft.’

De IBD raadt aan om alle misleidingspogingen te melden bij fraudehelpdesk.nl. Is een poging geslaagd? Doe dan altijd aangifte bij politie. De beste manier om CEO-fraude tegen te gaan, is door je altijd aan de procedures te houden, ook als er haast in het spel is.