IBD waarschuwt voor CEO fraude

De IBD waarschuwt gemeenten voor CEO fraude. Gedurende heel 2022 ontving de Informatiebeveiligingsdienst (IBD) van de VNG opvallend veel meldingen over phishing en pogingen tot CEO-fraude, waarbij een crimineel zich voordoet als belangrijk persoon binnen een organisatie. Ook de laatste maanden ontving de (IBD) weer enkele meldingen van CEO fraude. Bij CEO-fraude ontvangt een (financieel) medewerker van de gemeente, een e-mail uit naam van de burgemeester, gemeentesecretaris of andere hooggeplaatste zoals een directielid. De mail is in werkelijkheid afkomstig van een oplichter, die de gemeentelijke medewerker opdraagt een fors bedrag over te maken naar een (buitenlandse) rekening.  

Procedures niet opgevolgd door suggestie ‘spoed’ en ‘vertrouwelijkheid’. 

Vaak stelt de oplichter in zijn mail dat er sprake is van ‘spoed’ of ‘vertrouwelijkheid’. Soms leidt dit ertoe dat – onder druk- een medewerker het bedrag overmaakt. Dit is dan geen geval van falende techniek, maar een gevolg van menselijk handelen, waarbij bestaande procedures die er vaak zijn, zoals het checken van bankrekeningnummers, of het ‘4 ogen principe’, niet worden opgevolgd. Wat zijn de kenmerken van CEO fraude en wat kunt u doen om CEO fraude te voorkomen? 

Veelvoorkomende kenmerken op een rij 

  • De email komt van een persoon met gezag, zoals de burgemeester of gemeentesecretaris. 
  • De email is erg kort (slechts enkele zinnen), urgent en het emailadres is geen officiële email van een gemeente. 
  • Er wordt een beeld van hoge urgentie geschetst, waardoor een medewerker wordt overgehaald om procedures niet te volgen. 
  • Het email adres dat gebruikt wordt is niet het gemeentelijke emailadres maar lijkt van een persoonlijk adres te komen, zoals @hotmail.com. 
  • Er wordt gevraagd om naar een onbekende buitenlandse rekening geld over te maken. 

 Wat te doen om CEO fraude te voorkomen 

  • Controleer uw betaalprocedures en zorg dat deze altijd worden gehanteerd. 
  • Indien er een uitzondering gemaakt dient te worden op een betaalprocedure, laat de betaling door een extra persoon of leidinggevende controleren. 
  • Informeer medewerkers die geautoriseerd zijn betalingen te doen (afdeling financiën) over kenmerken van CEO fraude. 
  • Meldt een fraudepoging bij fraudehelpdesk.nl. 
  • Indien een CEO fraude geslaagd is, doe aangifte bij de politie. 

De IBD heeft een kennisproduct over dit onderwerp beschikbaar en publiceerde eerder ook een blog over dit onderwerp.