De week in tech CEO-fraude

Mailtje van de baas? Deleten!

Pathé Beeld RV

‘Hallo mijnheer. Ik ben een Nigeriaanse prins met heel veel miljoenen op de bank. Ik ben bij u terecht gekomen omdat u een betrouwbaar persoon bent. Mijn neef heeft mijn bankrekening geblokkeerd en om bij mijn geld te komen heb ik uw hulp nodig. U verdient daarmee 100.000 euro. Het enige wat u hoeft te doen is 5000 euro storten zodat ik uw rekeningnummer kan verifiëren.’ 

Zo ongeveer luidden de spammailtjes die een jaar of vijftien geleden populair waren. Nigeriaanse spam heette het, omdat zulke fraude in dat land begon. Hoe knullig ook, het werkte. Fraudeurs verdienden er goed geld mee. Inmiddels trapt niemand meer in deze knullige vorm van fraude. Toch? Nou... niet helemaal. Weliswaar zijn de methoden een stuk geavanceerder geworden, maar het achterliggende idee is in al die jaren hetzelfde gebleven: handig inspelen op de emoties van de ontvanger. Social engineering, in vaktermen. 

Dat is wat eerder dit jaar gebeurde bij Pathé. Uit een recent gepubliceerde uitspraak van de Amsterdamse kantonrechter bleek dat de bioscoopketen voor ruim 19 miljoen euro is opgelicht. Fraudeurs klopten in maart bij de Nederlandse top aan en deden zich via nagebootste mailadressen voor als bestuurder van het Franse hoofdkantoor. De criminelen vroegen diverse malen om geld voor de aankoop van een bedrijf in Dubai: ‘De transactie moet strikt vertrouwelijk blijven. Niemand anders mag er van weten zodat we ons voordeel ten opzichte van onze concurrenten behouden. Niemand anders dan mijzelf zal de betrokken partijen tijdig informeren.’ Alhoewel de Nederlanders hun twijfels hadden en deze ook naar elkaar uitten, maakten ze in verschillende – en steeds grotere – porties hun geld over.

Hoe geraffineerd zo’n aanval ook is (de aanvallers wekten vertrouwen door met zeer specifieke informatie te strooien), toch hadden de Nederlanders die in de val trapten beter kunnen weten. Deze vorm van fraude is namelijk bekend. Er is zelfs een naam voor: CEO-fraude. Uit onderzoek van mailbeveiliger Barracuda naar dit soort fraude blijkt dat in 43 procent van de gevallen criminelen zich voordeden als de CEO. Bedrijven als Barracuda leveren technische verdedigingslinies tegen dit soort fraude, maar het begint allemaal met gezond verstand. Voel je ergens dat er iets niet in de haak is, dan zal dat ook wel zo zijn. Ook als de mail van de baas is. Misschien wel júíst als de mail van de baas is.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.