CEO-fraude: waarom je juist je baas niet moet vertrouwen

Ceo-fraude bij bioscoopketen

Pathé verloor 19 miljoen euro door oplichters die zich voordeden als de Franse baas. Hoe bescherm je je bedrijf tegen CEO-fraude?

Foto ANP

Achteraf is het makkelijk praten. Alle alarmbellen hadden af moeten gaan toen op 8 maart 2018 dit mailtje binnenkwam bij de directie van Pathé Nederland:

„We zijn bezig met een financiële transactie voor de overname van een buitenlands bedrijf in Dubai. Deze transactie moet strikt geheim blijven. Niemand anders mag hiervan weten.” Afzender was de baas van het Franse moederbedrijf. Of beter gezegd: oplichters die zich voordeden als de Franse baas. Met de veelgebruikte CEO-fraudetruc ontfutselden zij de bioscoopketen afgelopen voorjaar ruim 19 miljoen euro.

De details kwamen naar buiten in een vrijdag gepubliceerd vonnis. De Amsterdamse kantonrechter sprak zich uit over een arbeidsconflict tussen Pathé en financieel directeur Edwin Slutter. Slutter werd, net als de Nederlandse topvrouw Dertje Meijer, geschorst en binnen een maand ontslagen omdat ze in de val van de internetfraudeurs trapten. De rechter oordeelde dat Slutter niet ontslagen had mogen worden. De oplichters gingen namelijk zo geraffineerd te werk dat hem geen blaam treft.

Hoe geraffineerd, dat blijkt uit de mailwisseling die Slutter en met name Meijer met de fraudeurs voerden. Ook Meijer vecht haar ontslag aan – daarover buigt de rechter zich later. Stapje voor stapje werd zij, samen met haar financieel directeur, naar binnen gehengeld en ingezet als nietsvermoedende handlangers van de dieven.

Miljardenfraude per e-mail

De oplichting is een schoolvoorbeeld van CEO-fraude. De truc – opdracht van een nepbaas – is een plaag voor het bedrijfsleven waarin transacties vaak louter digitaal afgehandeld worden, alleen via e-mailverkeer. Fraudehelpdesk.nl schat de schade in Nederland dit jaar al op 2,5 miljoen euro. Wereldwijd gaat het om 12,5 miljard dollar in de afgelopen vijf jaar, becijferde de FBI.

De plaag treft alle sectoren, zeker de bedrijven waarin grote bedragen omgaan. Ook in de bioscoopbranche zijn overboekingen van een paar miljoen euro aan de orde van de dag. Zulke bedragen zijn nodig voor filmlicenties of de bouw van een theater. Of de aankoop van een bedrijf in Dubai.

Fictieve KPMG-medewerker

De Nederlandse Pathé-top wordt al in de eerste mail in de val gelokt: om vertrouwen te winnen wordt een fictieve KPMG-medewerker geïntroduceerd die van de zaak zou weten. Een volgende mail vraagt naar de stand van de bankrekening, dat geeft een indicatie van de geldstromen.

De eerste overboeking is een bedrag van 826.521 euro naar een rekeningnummer in Dubai. Als dat lukt, worden de bedragen opgevoerd. Eerst 2,5 miljoen euro, daarna betalingen van meer vijf miljoen. In totaal loopt de teller op tot 19.244.304 euro. Slechts één keer vraagt de Nederlandse bedrijfstop zich af of die geheime overboekingen naar Dubai wel in de haak zijn. „Strange, nietwaar?”, mailt Dertje Meijer naar haar financieel directeur, als de oplichter meldt dat de betalingen per se via ‘Hollande’ moeten lopen. Ze hebben niet door dat ze meehelpen met de beroving van hun Franse moedervennootschap.

Het geld komt namelijk voor een groot deel uit een ‘cash-pool’ in Frankrijk. Daar krijgt op 28 maart iemand argwaan. Als er telefonisch overleg wordt gevoerd tussen Frankrijk en Nederland, blijkt dat het bedrijf om de tuin geleid is.

Social engineering: ‘ik reken op je’

Een CEO-fraude als bij Pathé is deels een technische hack – er werden mailadressen nagebootst en handtekeningen vervalst. Maar het is vooral een staaltje social engineering, inspelend op de verhouding tussen leidinggevende en werknemer. Als slachtoffer word je aangesproken op je autoriteitsgevoel (de baas zegt het) en geheimhoudingsplicht (‘ik reken op je’). Er speelt een element van persoonlijke waardering mee (‘zonder jouw hulp mislukt deze missie’) en bazige urgentie: dit moet nu gebeuren.

Eén zinnetje in het vonnis valt op: „Pathé heeft hem nooit opgeleid of geïnstrueerd om fraude te signaleren.” Hoewel er nog geen bewijs gevonden is voor een ‘inside job’ wimpelde Pathé de schuld in eerste instantie af op zijn medewerkers.

Beter was het geweest personeel te trainen met ‘goedaardige’ phishingmails en mensen te leren om afwijkende verzoeken te verifiëren met een extra check. Een telefoontje, bijvoorbeeld. Het is tekenend dat Pathé het bedrog pas ontdekte nadat er telefonisch overleg gevoerd was.

Zodra je contact opneemt om een betaalopdracht te controleren, gebruik dan niet de adressen of nummers in je mail, maar gegevens uit je eigen contactlijst. Niet voor niets wordt CEO-fraude ook wel Business Email Compromise (BEC) genoemd.

Pathé laat weten dat het zijn procedures na de fraudezaak heeft aangepast. De medewerkers (1.800 in Nederland, 4.210 wereldwijd) hebben inmiddels een training achter de rug, meldt een woordvoerder.

Een belangrijke les van CEO-fraudezaken: geconfronteerd met een opdracht van hogerhand zijn medewerkers geneigd hun eigen intuïtie te negeren. Terwijl dat vreemde mailtje van je baas geen extra respect verdient, maar juist extra argwaan.

    • Marc Hijink