Je moet nú 3 miljoen euro overmaken

Fraude

Een eenvoudig principe vormt de basis van een lucratieve vorm van oplichting: mensen doen vaak wat de baas zegt – ook grote geldbedragen overboeken. Een Nederlands slachtoffer maakte 3 miljoen over. De opmars van de ceo-fraude.

‘Ben je al op de hoogte gesteld van de deal?” Aan de lijn hangt een adviseur van een Zwitsers kantoor dat is gespecialiseerd in fusies en overnames. Het klinkt urgent, maar de man die het telefoontje krijgt weet van geen deal. Hij is de baas van de Nederlandse dochteronderneming van een Zweeds bedrijf. Dat bedrijf doet wel vaker overnames, maar deze keer weet de Nederlandse directeur van niks. De Zwitserse beller wil geen details geven; de Nederlander zal op korte termijn van zijn eigen Zweedse topman horen wat er speelt.

Niet veel later die ochtend komt er inderdaad een e-mail binnen van de topman uit Zweden. In zijn typerende stijl – kortaf en wat afstandelijk – laat hij weten dat er aan een overname in België wordt gewerkt. In een tweede mail geeft hij zijn Nederlandse directeur de opdracht 3 miljoen euro over te maken naar een Belgische bankrekening. De Nederlander doet wat hem gezegd wordt – en begaat daarmee een grote fout, ontdekt hij kort nadat hij de miljoenen heeft overgeboekt.

Deze Nederlandse directeur werd het slachtoffer van ‘ceo-fraude’, een relatief nieuwe vorm van oplichting die volgens internationale veiligheidsdiensten steeds vaker voorkomt. Het principe is simpel: de fraudeur doet zich voor als de hoogste baas (ceo) en draagt een onwetende werknemer binnen het bedrijf op een groot bedrag over te maken naar een buitenlandse bankrekening. Als het bedrijf de fraude ontdekt, is het geld allang doorgesluisd en verdwenen.

De methode is succesvol. Wereldwijd heeft deze vorm van fraude bedrijven afgelopen jaren 2,3 miljard dollar (2,1 miljard euro) gekost, schat de Amerikaanse FBI. Een kleine 18.000 bedrijven werden slachtoffer. In grote Europese landen is het verlies opgelopen in de richting van 1 miljard euro, schat de Europese veiligheidsorganisatie Europol.

In Nederland werd ruim een jaar geleden voor het eerst melding gemaakt van ceo-fraude, zegt een woordvoerder van de Fraudehelpdesk, een voorlichtingsorganisatie gesubsidieerd met overheidsgeld. Sindsdien hebben in Nederland voor zover bekend 27 bedrijven te maken gehad met ceo-fraude. Zeven van hen tuinden erin. En het probleem groeit. Afgelopen weken zijn 180 nieuwe domeinnamen aangemaakt die sterk lijken op de echte e-mailadressen van Nederlandse bedrijven, zo ontdekte het ‘high tech crime team’ van de politie deze week. Een uitzonderlijk hoog aantal, zegt een politiewoordvoerder. Een aantal bedrijven is er de afgelopen weken al ingetrapt en maakte bij elkaar bijna 1 miljoen euro over. „Ceo-fraude is echt een probleem.”

Overtuigingskracht

Voor een geslaagde ceo-fraude is weinig nodig, behalve overtuigingskracht. Dat nodigt uit tot proberen: steeds vaker geeft een oplichter zich uit voor topman. De schaal waarop de fraude voorkomt „blijft groeien”, meldde de FBI vorige maand. Het aantal pogingen nam in de afgelopen anderhalf jaar met 1.300 procent toe. Ook Europol ziet dat het probleem „verergert”, zegt Peter Depuydt, hoofd van het team dat zich richt op fraudebestrijding. En de financiële schade wordt groter: „Voorheen ging het vaak om duizenden euro’s, nu eerder over miljoenen.”

Ook de lokale Nederlandse directeur van de Zweedse investeringsmaatschappij maakte miljoenen over, nu ongeveer een jaar geleden. Het is iets dat maar weinig collega’s weten en dat wil hij graag zo houden. De directeur schaamt zich. Dat hij te weinig vragen gesteld heeft, dat hij niet even met het hoofdkantoor in Zweden gebeld heeft – dat hij erin getrapt is. Hij wil anoniem blijven, maar wél zijn verhaal vertellen. Om anderen voor zijn fout te behoeden.

Topman op de zeilboot

Alles klopte. „Skickat från min iPhone”, stond er onderaan de e-mail van de baas. Zweeds voor „Verstuurd vanaf mijn iPhone”. Het was logisch dat dat eronder stond, want de Zweedse topman was aan het zeilen en deze tekst staat altijd onder zijn mobiel verzonden e-mails.

Ook de Zwitserse adviseur aan de telefoon maakte een betrouwbare indruk. De Zwitser, die Engels sprak met een vaag Frans accent, leek de bedrijfstop echt te kennen. Hij verwees naar de verschillende karakters van de Zweedse topman en de tweede man binnen het bestuur: de een wat nors en stug, de ander juist joviaal en informeel. De Nederlandse directeur was ervan overtuigd dat de Zwitser en de Zweedse top met elkaar aan tafel hebben gezeten.

Geheel „te goeder trouw” maakte de Nederlander het geld dus over, ook al is zo’n directe opdracht van zijn Zweedse baas wel ongebruikelijk. Er ging desondanks geen telefoontje naar Zweden – het was niet de bedoeling dat de Nederlander „voor elk wissewasje” het hoofdkantoor belde. Hij houdt zich wel aan het ‘vierogenprincipe’: zijn financiële man keek mee bij de transactie. De financiële man dacht alleen wel dat zijn directeur de hoogste baas persoonlijk heeft gesproken – een misverstand.

Direct na de overboeking viel het oog van de directeur op iets geks. De Zweedse topman sloot zijn e-mail af met zijn voor- én achternaam. Raar, doorgaans stond die achternaam er niet bij. De directeur schrok pas echt toen hij het e-mailadres bestudeerde. In de achternaam van de topman ontbrak één letter. Nu belde hij wél naar Zweden en kreeg bevestigd wat hij vreesde: zijn baas had hem nooit gevraagd 3 miljoen over te maken, en er was geen Belgische deal. De directeur was opgelicht.

Eer en ego

Dit is de klassieke werkwijze van ceo-fraudeurs, zegt fraude-expert Peter Depuydt van Europol. Door middel van „psychologische beïnvloeding” overtuigen ze hun slachtoffer. De fraudeurs vervlechten slimme details – de Zweedse iPhonetekst, de verwijzing naar karaktereigenschappen – in hun aanval. Daarnaast maken ze gebruik van eer en ego: de hoogste baas geeft het mikpunt hoogstpersoonlijk een belangrijke taak. Wie wil de baas nou niet behagen?

Het oordeel over slachtoffers is vaak hard, zegt Depuydt. „Men zegt: hoe stom kun je zijn? Je gaat toch ook niet met een open handtas over straat?” Maar dat is onterecht, vindt hij. Depuydt heeft de fraudeurs horen opereren in opgenomen telefoongesprekken. „Dan hoor je hoe overtuigend ze zijn, hoe geraffineerd. De slachtoffers zijn niet stom.”

Stom vóélt de Nederlandse directeur zich wel. En te kijk gezet, en in paniek. Zijn bedrijf valt niet om van een verlies van 3 miljoen, weet hij, maar het is wel een enórme hoeveelheid geld. De directeur weet zeker dat hij zijn baan kwijt is. De Zweedse baas reageert minder emotioneel. Hij ziet de Nederlander als slachtoffer en vraagt hem alleen er „alles” aan te doen om het geld terug te halen.

Na uren onzekerheid had de directeur ineens een beetje geluk. Het geld was al wel bij de Belgische bank aangekomen, hoorde hij, maar stond nog niet op de rekening van de fraudeur. Het kón nog goedkomen. Weer later, tegen het eind van de middag, kwam de verlossende mededeling: de miljoenen komen terug.

Heel veel mazzel

De Nederlandse directeur heeft „heel veel mazzel” gehad, zegt Yvonne Willemsen, hoofd veiligheidszaken bij de Nederlandse Vereniging van Banken (NVB). Gedupeerde bedrijven krijgen hun geld zelden terug. „Het lastige is: er mankeert niks aan zo’n betaalopdracht, iemand drukt zélf op de knop.” Hoe eerder het slachtoffer in actie komt, hoe groter de kans dat er nog iets te redden valt. Banken kunnen alleen iets doen als het geld nog niet op de andere rekening staat. Want zodra ze erbij kunnen, sluizen de nep-ceo’s het geld direct door.

De NVB beschouwt ceo-fraude als een „nieuwe trend”, zegt Willemsen. Ze ziet „een verschuiving” van fraude met internetbankieren, gericht op individuen, naar deze vorm, gericht op bedrijven. „Daar is het grote geld te halen.” Bestrijding is lastig: „Technische maatregelen helpen niet, de fraudeurs richten zich op mensen. We kunnen alleen maar waarschuwen.” De NVB gaat de voorlichting „intensiveren”.

Het geld wordt vaak weggesluisd via bankrekeningen in Cyprus, Roemenië en Polen, zegt Peter Depuydt van Europol. Ook Slowakije is nu „in trek.” Zodra het geld binnen is, verdwijnt het doorgaans naar Azië, zegt Depuydt. „China, Hongkong of Taiwan. Maar de fraude wordt gepleegd vanuit Israël, door Franssprekende Israëliërs.” In Frankrijk komt ceo-fraude veruit het vaakst voor: sinds 2010 overkwam het zo’n duizend Franse bedrijven, die samen een half miljard euro overmaakten. De daders zijn „verschillende individuen die elkaar kennen en helpen”, zegt Depuydt. Maar voor zover de autoriteiten weten is het geen georganiseerde groep „met een soort Godfather aan het hoofd”.

Even bellen

De Nederlandse directeur weet niet wie hem heeft opgelicht. Er is nooit niemand gearresteerd, hij heeft alleen gehoord dat het waarschijnlijk een Fransman was.

Hij weet wel dat hem nooit meer zoiets zal overkomen. Zijn bedrijf heeft de procedures rond geldtransacties aangescherpt – iets wat hij elk bedrijf zou aanraden. Als een zakenrelatie bijvoorbeeld per mail zijn bankrekeningnummer wijzigt, wordt dat altijd even telefonisch gecheckt. Zelf is de directeur ook iets wantrouwender geworden. Niet zozeer tegenover mensen, maar wel online. „Er wordt door mij nergens zomaar op geklikt.”