Het fenomeen CEO fraude begint steeds meer de kop op te steken. Politiezones melden de laatste tijd een stijging in de aangiftes van dit type van fraude. Wat houdt het juist in en hoe moeten we als politiedienst er mee omgaan?
CEO Fraude?
CEO fraude is een vorm van oplichtingwaarbij cybercriminelende financiële afdelingvan een onderneming contacteren met de vraag een belangrijke betaling uit te voeren. De oplichters nemen de identiteit aan van de CEO, CFO of een vertrouwde persoon binnen het bedrijf en vragen een medewerker van de financiële afdeling om een dringende betaling uit te voeren. Omdat de werknemer in de veronderstelling is dat de vraag van het hoger management komt, is de kans reëel dat de betaling effectief wordt uitgevoerd. Als de fraude niet binnen de 24 uur aan het licht komt, is het zeer moeilijk of zelfs onmogelijk om het geld te recupereren. Voorkomen is dus beter dan betalen.
CEO fraude tracht dus om het vertrouwen van een medewerker te winnen. Er zijn verschillende soorten manieren waarop CEO fraude wordt uitgevoerd.
Fake mailers
Het is mogelijk dat de verdachte zich uitgeeft als CEO van een bedrijf, en een vervalst e-mailbericht verstuurt naar een persoon die verantwoordelijk is voor de financiële uitvoering van verrichtingen. Er wordt gebruik gemaakt van fake mailers, een (online) toepassing die toelaat om een e-mailbericht te versturen met als afzender het effectieve e-mailadres van de CEO. In het e-mailbericht wordt aan de financieel verantwoordelijke gevraagd om met spoed een grote betaling uit te voeren. Gezien het e-mailadres van de CEO gebruikt werd, werd het vertrouwen gewonnen en wordt de betaling uitgevoerd. De financieel verantwoordelijke mailt hierop terug dat de betaling werd uitgevoerd, die ook effectief toekomt in de mailbox van de CEO, maar die dus van niets weet. Ondertussen is de overschrijving al uitgevoerd en verwerkt bij de bank. Het geld is ook reeds volledig verdwenen van de rekening van de muilezel.
Gehackte mailbox
Ook is het mogelijk dat de mailbox van de CEO of financieel verantwoordelijke reeds geruime tijd gehackt werd. De criminelen houden zich stil en volgen de mailbox om een beeld te krijgen van de mails die worden ontvangen en verstuurd, de zinsbouw, en wie ze in de val kunnen lokken. Deze grondige analyse kan soms weken duren alvorens ze tot actie overgaan. Van zodra ze een zicht hebben waar ze het meeste geld kunnen halen (bijvoorbeeld een factuur die betaald moet worden na het overmaken van een offerte), maken ze een e-mailregel aan waarbij alle e-mailberichten van het slachtoffer worden doorgestuurd naar de eigen mailbox van de verdachten. Zo hebben zij ruim de tijd om het e-mailbericht te vervalsen, en de digitale factuur na te maken en te vervalsen. Een frauduleus rekeningnummer wordt opgegeven, waarna de factuur opnieuw wordt verstuurd naar de CEO of financieel verantwoordelijke. Deze gaat over tot betaling van de factuur, waarna de klant zich na enkele weken afvraagt waar het geld blijft. Het kwaad is opnieuw geschied en het geld is verdwenen van de muilezel.
Buitenlandse rekeningnummers
Vaak gaat het om frauduleuze buitenlandse rekeningnummers waarop het geld wordt overgeschreven. Dat maakt het voor onze politiediensten alleen maar moeilijker om achter het geld aan te gaan. De mailbox wordt dan weer gehackt door middel van VPN diensten, TOR servers,… manieren om het IP-adres van de crimineel te verbergen. En deze gegevens zijn meestal niet te bevragen bij de VPN providers omdat zij niet beschikken over logbestanden.
Hoe moeten wij als politiedienst er dan mee omgaan?
Het slachtoffer dat geld dient te ontvangen staat vaak aan het onthaal van de politiekantoren. Zij zijn diegene die een financiële schade hebben opgelopen en willen hun geld zo snel mogelijk op hun rekening. De tegenpartij heeft betaald, zij komen later aangifte doen, wanneer blijkt dat zij gehackt zijn. Een proces-verbaal informaticafraude dient dan opgemaakt te worden met alle nuttige informatie, zoals de originele en vervalste e-mailberichten, originele factuur, en eventueel vervalste factuur zijn noodzakelijk om een goed proces-verbaal op te stellen. Echter wordt vaak vergeten dat de e-mailheader enorm belangrijk is. Op basis van de e-mailheader kan nagegaan worden waar de fraude heeft plaatsgevonden: werd de originele factuur onderschept langs de kant van de betaler, of langs de kant van de ontvanger? Als blijkt uit de analyse van de e-mailheader dat het slachtoffer dat bij u een verhoor laat afnemen slachtoffer werd van hacking, dan dient u eveneens de feiten hacking en datasabotage te weerhouden: zij hebben ongeoorloofde toegang verkregen tot de mailbox en de inhoud werd gewijzigd (berichtregel aangemaakt, mail verwijderd en nieuwe vervalste mail toegevoegd).
Goed om te weten: de mailbox van de CEO of van de financieel verantwoordelijke wordt meestal gehackt omdat het wachtwoord te eenvoudig is, of afkomstig van een hacking van een andere website, waarbij de wachtwoorden vaak dezelfde zijn voor alle mailboxen, websites,… Zo krijgt de hacker eenvoudig toegang zonder dat het opgemerkt wordt. Deze tip dienen wij als politieambtenaren ook ter harte te nemen: voorzie voor elke website een verschillend (en zo lang mogelijk) wachtwoord!
Hoe je de e-mailheader kan bevragen, lees je hier: https://www.pzgrens.be/sites/default/files/Emailheaders.pdf
