Factuur- en CEO-fraude: wat is het en hoe vermijd je het?

Factuur- en CEO-fraude: wat is het en hoe vermijd je het?

De kans is groot dat je denkt dat CEO- of factuurfraude iets is wat jouw organisatie niet zal overkomen. Zo zijn meer dan vier op de tien bedrijven in het Verenigd Koninkrijk zich niet bewust van de risico’s van factuurfraude. Dit blijkt uit een onderzoek van handelsvereniging UK Finance (in Nederland hebben we nog geen duidelijke cijfers over dit onderwerp). Als je je wel bewust bent van de gevaren, kan het zijn dat je inmiddels slachtoffer bent geworden. In dit artikel leggen we uit wat dit soort fraude inhoudt, wat je kunt doen als het jou is overkomen en wat je kunt doen om het te voorkomen.

Ga meteen naar:

Factuurfraude versus CEO-fraude

Wanneer fraudeurs bedrijven oplichten door zich voor te doen als legitieme leveranciers, wordt dit factuur- of ceo-fraude genoemd, maar het staat ook bekend als ‘spoofing’ of ‘zakelijke e-mailcompromis’. Oplichters doen zich dan voor als verkopers of zakenpartners en overtuigen bedrijven om (vaak grote) sommen geld over te maken naar een offshore-rekening voor diensten die nooit zijn verleend.  

Factuurfraude en ceo-fraude zijn twee verschillende zaken die elkaar voor een groot deel overlappen, vandaar dat we beide in dit artikel bespreken. Eigenlijk is het verschil niet zo groot. CEO-fraude is wanneer criminelen zich voordoen als CEO van een bedrijf, of een andere bestuursfunctie, en medewerkers van het bedrijf verleiden tot het sturen van geld voor niet-geleverde diensten. Wanneer een frauduleuze factuur wordt gebruikt om een bedrijf te laten betalen, wordt dit factuurfraude genoemd. Wanneer een crimineel zich voordoet als de CEO en daarbij een frauduleuze factuur gebruikt, is het beide. Beide soorten worden steeds vaker gebruikt, omdat men steeds vaker online zakendoet. 

Hoe groot is dit probleem?

Dit soort fraude kostte Britse bedrijven bijna 93 miljoen pond in 2018, aldus het UK Finance-onderzoek. In 2019 werden Google en Facebook voor 123 miljoen dollar opgelicht. In juni van dit jaar maakte een Iers bedrijf meer dan 74.000 dollar over naar een frauduleuze rekening in China. 

Volgens de FBI is de hoeveelheid geld die oplichters probeerden te stelen via zakelijke e-mailcompromissen tussen december 2016 en mei 2018 met 136% toegenomen. Wereldwijd hebben e-mailoplichters tussen oktober 2013 en mei 2018 voor meer dan 12 miljard dollar grote en kleine bedrijven bedot. 

verliezen factuurfraude Klippa

Dus als het jouw organisatie is overkomen, hoef je je zeker niet te schamen. Deze mensen zijn sluw en ze weten precies hoe ze bedrijven kunnen misleiden. Sommigen leren het zelfs op the Dark Web, een donkere kant van het internet waar criminelen anoniem kunnen communiceren. Ze leren elkaar bijvoorbeeld hoe ze moeten frauderen en welke hulpmiddelen ze moeten gebruiken. 

Hoe werkt CEO-fraude?

Ze onderzoeken eerst hun doelwit, daarna maken ze een e-mailadres van de CEO of de leidinggevende van het slachtoffer na en gebruiken hun onderzoek om een gerichte e-mail met een duidelijk gevoel van urgentie op te stellen. Het slachtoffer ontvangt wat lijkt op een e-mail van hun executive of CEO, klikt op de link om deze te bekijken en deelt privé-informatie met de phishingsite. De oplichters breken dan in het netwerk van het slachtoffer in. Natuurlijk zijn er tal van manieren om dit te doen, maar dit voorbeeld vat het aardig samen.

Hoe werkt factuurfraude?

In geval van factuurfraude zie je vaak facturen van bestaande leveranciers die onderschept en gewijzigd zijn door de bankgegevens te wijzigen. De factuur lijkt dus op het eerste gezicht authentiek. De producten zijn daadwerkelijk gekocht en de leverancier wordt vertrouwd, maar als er betaald wordt, gaat het geld naar de oplichters. Er zijn ook gevallen waarin criminelen e-mailen of bellen naar financiële afdelingen om de bankrekeninggegevens te wijzigen van een leverancier waar ze zogenaamd voor werken, om te proberen toekomstige betalingen aan deze leverancier te ontvangen. Dus elke onverwachte en ongecontroleerde verandering van bankgegevens is een rode vlag. Kijk goed naar het e-mailadres waar e-mails vandaan worden verstuurd en vertrouw nooit een e-mail of telefoontje zonder een tweede verificatiemethode te gebruiken. 

In de gevallen van Google en Facebook heeft een Litouwse oplichter zich twee jaar lang voorgedaan als een derde partij die zaken met hen deed. Het geld van de techneuten reisde de wereld rond om te worden witgewassen voordat het in de handen van de crimineel terechtkwam. Het geld werd overgemaakt naar zijn bankrekeningen in Letland en Cyprus en vervolgens verdeeld over verschillende bankrekeningen over de wereld. Hij vervalste facturen, contracten en brieven die door leidinggevenden van Google en Facebook leken te zijn ondertekend en die valse bedrijfsstempels droegen. Google verloor ongeveer 23 miljoen dollar aan de zwendel, terwijl Facebook 100 miljoen dollar kwijt was.

Je bent opgelicht. Wat nu?

Helaas blijkt het lastig om aan factuurfraude verloren geld terug te krijgen. Vertegenwoordigers van Google en Facebook zeiden beide dat hun bedrijven het gestolen geld hebben teruggekregen, maar dat is zeer zeldzaam. De meeste verzekeringsmaatschappijen zullen jou aanwijzen als de enige verantwoordelijke, aangezien jij degene bent die is opgelicht.

Als je bent opgelicht door een nepleverancier, heeft het vaak ook geen zin om je geld terug te vragen aan de echte leverancier, want zij zijn niet degene die je hebben opgelicht. De beste kansen liggen bij je bank, wellicht ben je op een of andere manier beschermd of kunnen ze het geld tijdig traceren en terugkrijgen. Ook banken zullen in de meeste gevallen terughoudend zijn om de schade te dekken. Bewaar alle berichten en andere bewijzen die verband houden met het incident.

Mocht je slachtoffer worden, dan is snelheid van groot belang. Hoe langer het duurt om de fraude te ontdekken, hoe kleiner de kans is dat het geld kan worden gelokaliseerd. Oplichters proberen meestal het geld zo snel mogelijk over de hele wereld te verplaatsen.

Het is dus zaak om dit soort fraude te voorkomen.  

Wat kan je organisatie doen?

  • Informeer je medewerkers over hoe dit soort fraude werkt en hoe ze met facturen moeten omgaan. Ze moeten vooral alert zijn als de betalingsvoorwaarden plotseling veranderen of als er een andere bankrekening wordt doorgegeven.
  • Implementeer een twee-partijen-sign-off (“vier-ogen-controle”) voor alle betalingen, in plaats van één verantwoordelijke. 
  • Praat met je bank of leverancier van boekhoudsoftware over het organiseren van speciale protocollen, zoals stem-verificatie, in het overschrijvingsproces.

Hoe technologie kan helpen bij het voorkomen van factuurfraude

Je kunt er ook voor kiezen om al deze tips te combineren door gebruik te maken van een oplossing voor de verwerking van facturen. Het automatiseren van handmatige taken zal menselijke fouten elimineren en als we het hebben over fouten van miljoenen euro’s hebben, is het het waard om er eens naar te kijken.

Uit statistieken blijkt dat veel fraudegevallen gemakkelijk kunnen worden voorkomen – slechts een kwart van de medewerkers laat betalingen namelijk dubbelchecken. Ondertussen geeft een vergelijkbaar percentage aan dat ze zijn opgelicht omdat ze het e-mailadres vertrouwden.

ceofraude statistieken Klippa

Het is heel natuurlijk dat mensen fouten maken, online criminelen worden dan ook steeds geraffineerder. Zeker nu COVID-19 veel organisaties in financiële nood brengt, voelen medewerkers de druk om snel te handelen. Daarnaast werken de meeste mensen thuis, soms (deels) buiten de beschermde IT-infrastructuur van de werkgever. IT is zo veilig als de zwakste schakel, en als je wifi-wachtwoord hallo123 is, is de kans groot dat jij die schakel bent. Dit betekent gemakkelijke toegang voor hackers die op zoek zijn naar hun volgende prooi.

Klippa’s oplossing

De strijd tegen online criminelen moet online worden gevoerd, door gebruik te maken van betrouwbare software met business rules die het facturatieproces helpen beveiligen. Klippa’s facturatiesoftware heeft verschillende functies die helpen om een einde te maken aan factuurfraude. Onze software:

  • Matcht op drie manieren: als je elke factuur koppelt aan bijvoorbeeld een PO-nummer en een bewijs van ontvangst van goederen, dan heb je veel minder kans om een frauduleuze factuur te betalen. Het vervalsen van drie afzonderlijke documenten is voor de meeste criminelen te veel werk.
  • Controleert de financiële informatie van leveranciers: Frauduleuze facturen worden meestal uitgegeven onder valse bedrijfsnamen of onder een legitieme naam maar een vals adres of bankrekeningnummer. Onze software controleert automatisch de rechtmatigheid van een bepaalde leverancier door het KvK-nummer, het bankrekeningnummer en het BTW-nummer te matchen met het archief van de Kamer van Koophandel. Als een van deze gegevens verandert, worden de gebruikers op de hoogte gebracht om dit te verifiëren.
  • Controleert het adres van de leverancier op Google Maps. Als het adres van een woning is of een postbus, is de kans groot dat de factuur frauduleus is. 
  • Is het interval logisch? Verwacht je een factuur van dit bedrijf? Is dit een normale tijd om hem te ontvangen?
  • Zoekt naar duplicaten en stelt en de betrokken medewerkers hiervan op de hoogte. Het is voor het menselijk oog vrij moeilijk om duplicaten te herkennen, zeker als je elke dag naar veel facturen kijkt. Het kost een computer een seconde om ze te herkennen en de gebruiker te waarschuwen. 

Natuurlijk is het niet allemaal aan software om je bedrijf te beschermen tegen cyberaanvallen. Update je medewerkers over de risico’s en zorg ervoor dat ze elke factuur die om een aanzienlijke hoeveelheid geld vraagt dubbel controleren. Zelfs kleinere bedragen die regelmatig voorkomen. Zorg ervoor dat je medewerkers altijd twee controles doen om een vreemd verzoek te verifiëren. Dus als je een verzoek via de post ontvangt, verifieer dan telefonisch, dit vermindert de kans op fraude drastisch. 

Kijk altijd met vier ogen naar elke binnenkomende factuur: dit verkleint de kans op het laten doorschieten van frauduleuze facturen. Wanneer leveranciers van bankrekeningnummer veranderen, neem dan altijd direct contact met hen op om te zien of de verandering legitiem is. Gebruik ter controle niet het telefoonnummer dat op de factuur staat, maar een officieel telefoonnummer van een vertrouwd contactpersoon binnen de organisatie. 

Meer hulp nodig?

Als je meer wil weten over hoe Klippa’s accounts payable software jouw bedrijf kan helpen beschermen en je accounts payable proces kan verbeteren, neem dan contact met ons op. Je kunt ons bereiken via support@klippa.com. Het is ook mogelijk om een 30-minuten durende demo plannen waarin we uitleggen hoe onze software werkt en hoe het je organisatie ten goede komt. 

Schedule a free online demonstration

A clear overview of Klippa in only 30 minutes.

Works with AZEXO page builder