Internetfraudeurs doen zich vaker voor als een collega

fraude oplichting

Amsterdam – Internetfraudeurs doen zich vaker voor als een collega of vriend om geld los te peuteren. De miljoenenoplichting van bioscoopketen Pathé door een nep-topman was geen uitzondering, zeggen beveiligingsexperts. Ook gewone burgers worden zo verleid tot forse overmakingen.

Bedrijfsrechercheur Dick Steffens ziet de laatste tijd meer van zulke fraudegevallen voorbijkomen. Zo kreeg de oud-politieman vorige maand een telefoontje van een Nederlands bedrijf dat de financiële zaken verzorgt van „een heel groot bedrijf met een hoofdvestiging in Europa”

Steffens: „Ze kregen een mailtje van de topman, dachten ze. Hij meldde: ’We zijn bezig met een grote overname. Kun je €250.000 overmaken naar deze Poolse bankrekening?’ Dat is gebeurd. Een dag later kwam weer een mailtje: ’Er is kennelijk iets fout gegaan bij de overmaking’. Daarna volgen nog meer overmakingen, Aan het eind van de week was € 900.000 zoek”. Steffens heeft zijn eigen internationaal recherchebureau Interludium, dat hij startte na een carrière bij onder meer de Criminele Inlichtingendienst. Hij was degene die het losgeld reed in de Heineken-ontvoering.

Logo

In een andere recente zaak maakte een multinational €50.000 over naar Hongkong. Steffens: „Ze hadden een mailtje gekregen die van hun eigen administratie kwam, met logo en alles erop en eraan. Er stond dat ze even een factuur moesten overmaken. Alleen was het bankrekeningnummer veranderd.” Steffens kreeg de opdracht onderzoek te doen. „Ze vroegen ons te achterhalen van wie de bankrekening was en of er nog wat op stond. Dat hebben we gedaan, maar alles was al doorgestort. Dat gebeurt in 90% van de gevallen.”

„Het is recent zelfs bij ons geprobeerd’, zegt Harm van Koppen van de beursgenoteerde IT-beveiliger Sophos. Hij vertelt dat een lokale financieel directeur werd benaderd door iemand die zich voordeed als de topman van Sophos. „Zij heeft zelfs met hem gebeld. De man verzocht haar om €750.000 over te maken vanwege een overname. Gelukkig heeft ze zijn opdracht om het strikt vertrouwelijk te houden niet opgevolgd. Ze heeft haar leidinggevenden geïnformeerd en zo zijn ze er achtergekomen. De dame heeft goed gehandeld door ongehoorzaam te zijn.” Van Koppen hoort vaker van klanten over zulke aanvallen. „Maar daar kan ik niet over vertellen, alleen over wat onszelf is overkomen.”

Kennis van netwerken

Wie zoiets doen? Steffens: „Dit zijn echt mensen die weten van de hoed en de rand. Ik denk niet dat Nigerianen erachter zitten. Je moet verstand hebben van netwerken en computers, van e-mail versturen zodat het lijkt alsof het van iemand komt. Je moet vooral ook verstand hebben van geld doorsluizen. Het geld gaat vaak eerst naar Polen, daarna naar andere landen, Hongkong, Singapore, Panama. Daar staat dan soms nog €5000 op.”

Steffens denkt dat de meeste oplichtingszaken niet naar buiten komen. „Een mislukte poging kom je eigenlijk niet achter. Als het wel lukt, zeker als het relatief kleine bedragen betreft, kom je er ook niet achter. Bedrijven willen hun reputatie beschermen. Als jij geld verliest in een piramidespel, ga je ook niet tegen je buurman zeggen dat je zoveel geld hebt verloren.”

’Echter en echter’

Bij de Fraudehelpdesk weet men daarom ook niet alles. „Mensen mailen die valse mail meestal niet als bijlage aan ons door”, zegt woordvoerster Tanya Wijngaarde . „Maar ik kan gerust zeggen dat in toenemende mate zulke trucs gebruikt worden in de gemiddeld 80.000 mails die wij maandelijks ontvangen. De nep-mails worden steeds beter en echter.” Vaktermen voor deze vorm van fraude zijn onder meer url-spoofing, ip-spoofing, ceo-fraude of business email compromise.

Volgens IT-beveiliger Van Koppen zijn er diverse technische mogelijkheden waarop bedrijven zich kunnen beschermen. „Maar iemand kan ook proberen om via jouw laptop in het bedrijfsnetwerk te komen. Hij kijkt welke wachtwoorden jij hebt getypt. Toetsaanslagen worden altijd even bewaard in het geheugen. Op het moment dat hij adminstrator is, kan hij nieuwe e-mailnamen toevoegen.”

Overheid

Ook overheden worden wel te grazen genomen, zegt Steffens. Hij wijst op een fraudegeval vorig jaar februari in Finland. Daar maakte het Finse ministerie van Buitenlandse Zaken €400.000 over na een mail van iemand die zich voordeed als werknemer van de VN-organisatie UNDP. „Dat geld is ook nog zoek”, zegt Steffens.

De kans dat gedupeerden hun geld terugzien, is volgens Steffens gering omdat criminelen de buit snel wegsluizen. „Als je aangifte doet bij de politie – dat adviseren we ook – heeft de politie direct een groot probleem. Ze hebben altijd een rechtshulpverzoek nodig. In Engeland of Duitsland ben je daar wel een week mee bezig. In Hongkong wel langer. Kom je eenmaal bij die rekening in Hongkong, dan is die leeggehaald en kan het feest opnieuw beginnen”, aldus de oud-politieman.

Steffens werkt zelf samen met een Israëlisch bedrijf dat – ’helemaal legaal hoor’ – overal ter wereld bankrekeningen kan opsporen en inzien. „Als het gebeurt, heb je hele snelle actie nodig. We kunnen de rekening altijd achterhalen. Als je geluk hebt staat er nog wat op. Uiteindelijk kan je bij de boef terechtkomen. Maar voor een bedrag van €50.000 is dat wellicht niet de moeite waard.”

Blamage bij Pathé

Pathé-topvrouw Dertje Meijer en haar financieel directeur Edwin Slutter maakten vorig jaar in totaal €19 miljoen euro over in opdracht van een nep-baas. Hij liet hen enorme bedragen overmaken vanwege een fictieve overname. De twee directeuren pleegden zelfs geen telefoontje met hem. „Ze hadden op zijn minst een derde moeten raadplegen”, vindt Van Koppen. In beveiligingskringen wordt met ongeloof naar de zaak gekeken. De door Pathé ingeschakelde bedrijfsrecherche zag echter geen aanwijzingen voor een ’inside job’, bleek uit het proces dat Slutter vergeefs tegen zijn ontslag aanspande.

Of het geld ooit nog eens terechtkomt? Steffens: „€19 miljoen is niet een bedrag dat je zomaar verstopt. Daar heb je een organisatie voor nodig. Je hebt adviseurs nodig. Die had Holleeder ook om zich heen. Het is sowieso doorgestort en weer doorgestort. De politie heeft wel een jaar nodig om zoiets te achterhalen. Maar op een gegeven moment zijn er altijd mensen die gemachtigd zijn op een rekening.”

Zelfs met de beste bescherming kan het mis gaan, zegt Van Koppen. „Er bestaat geen technische oplossing die je kan beschermen tegen onwetendheid. Als jij gemachtigd bent een betaling te doen en jij doet die betaling na een gesprek met een denkbeeldige directeur, dan kan ik dat niet tegenhouden. Wat je wel kan doen, is een bewustwordingscampagne opzetten.” Zowel Van Koppen als Steffens wijst erop dat alarmbellen moeten gaan rinkelen als iemand je per mail een zwijgplicht oplegt en begint over veranderde bankrekeningnummers.

Wees voorzichtig

Van Koppen ziet de ceo-fraude in bescheiden vorm ook steeds vaker opduiken bij gewone stervelingen. „Dan gebeurt het niet gericht, maar is het meer schieten met hagel.” Hij noemt een voorbeeld uit eigen kring. „Een jongen kreeg een whatsappbericht van zijn broer, die hem vroeg zijn telefoonnummer te wijzigen omdat hij was overgestapt van telecomprovider. Dat wat was zijn broer dus niet. Als je het wel doet, kan je een week later het verzoek krijgen om geld over te maken”, aldus Van Koppen.

Zijn advies: „Denk goed na voordat je op een linkje klikt. Denk na wat je op sociale media zet. Telefoonnummers erop zetten is niet handig. Of een foto van je rijbewijs op Facebook. Daar kan iemand je burgerservicenummer uit pikken. Of een diploma met een certificaatnummer. Mensen weten goed dat je in de Kalverstraat op je portemonnee moet letten, maar je moet ook op je cybergedrag letten.”

Bron: https://www.telegraaf.nl/financieel/3325493/pathe-fraude-krijgt-navolging