CEO-fraude is een vorm van oplichting waarbij criminelen zich voordoen als een directeur, manager of andere leidinggevende. Het doel is vaak om een medewerker snel geld te laten overmaken, cadeaukaarten te laten kopen of vertrouwelijke informatie te laten delen. Ondanks alle waarschuwingen werkt CEO-fraude nog steeds. Niet omdat medewerkers naïef zijn, maar omdat de aanval slim inspeelt op normale werkverhoudingen.
In veel organisaties reageren medewerkers snel op verzoeken van leidinggevenden. Dat is logisch. Een bericht van de directeur krijgt aandacht. Zeker wanneer het dringend klinkt of vertrouwelijk moet blijven. Cybercriminelen gebruiken precies die dynamiek.
CEO-fraude werkt niet door techniek, maar door gezag, haast en de wens om behulpzaam te zijn.
Hoe CEO-fraude eruitziet
Een medewerker ontvangt bijvoorbeeld een e-mail of chatbericht van iemand die zich voordoet als de directeur. Het bericht zegt dat er snel een betaling moet worden gedaan, dat een leverancier wacht of dat er cadeaukaarten nodig zijn voor een relatie. Soms wordt gevraagd om niemand anders erbij te betrekken omdat het vertrouwelijk is.
De afzender kan lijken op het echte e-mailadres. Soms gebruiken criminelen een privé-mailadres met de naam van de directeur. In andere gevallen is een echt account overgenomen. Daardoor kan het bericht nog geloofwaardiger zijn.
Waarom medewerkers meegaan
CEO-fraude werkt omdat medewerkers hun werk goed willen doen. Ze willen helpen, snel reageren en geen probleem veroorzaken. Als een leidinggevende druk zet, voelt het ongemakkelijk om te twijfelen of tegen te spreken. Criminelen weten dat en gebruiken zinnen als ik zit in een vergadering, regel dit direct of dit moet vertrouwelijk blijven.
Ook speelt timing mee. Aanvallen worden vaak verstuurd op drukke momenten, rond het einde van de dag of wanneer een leidinggevende echt afwezig is. Dan is controleren lastiger.
Welke signalen zijn verdacht?
Let op afwijkingen. Komt het verzoek via een ongebruikelijk kanaal? Is er haast? Moet het geheim blijven? Gaat het om geld, cadeaubonnen, betaalgegevens of gevoelige informatie? Wordt er gevraagd om normale procedures over te slaan? Dat zijn duidelijke waarschuwingssignalen.
Een verzoek van een leidinggevende is niet automatisch veilig. Juist belangrijke verzoeken moeten controleerbaar zijn. Goede processen beschermen zowel medewerker als organisatie.
Wat kun je doen?
Controleer via een bekende route. Bel de leidinggevende op een bekend nummer of vraag intern na of het verzoek klopt. Gebruik niet het telefoonnummer of e-mailadres uit het verdachte bericht. Volg betaalprocedures, ook als er druk wordt gezet.
Organisaties kunnen helpen door duidelijke afspraken te maken. Bijvoorbeeld: betalingen boven een bepaald bedrag worden altijd door twee personen goedgekeurd. Cadeaukaarten worden nooit via losse chatverzoeken gekocht. Afwijkende betaalgegevens worden altijd telefonisch gecontroleerd.
Security awareness maakt twijfel normaal
CEO-fraude voorkom je niet alleen met techniek. Het gaat om gedrag en cultuur. Medewerkers moeten weten dat twijfelen mag, ook bij een bericht van een leidinggevende. Security Awereness helpt om dat normaal te maken.
SecuSnack vergroot bewustwording met korte scenario's waarin medewerkers oefenen met dit soort verzoeken. De boodschap blijft praktisch: stop even, controleer via een bekende route en laat druk nooit de procedure vervangen.