Marianne Junger is hoogleraar Cyber Security en Business Continuity aan de Universiteit Twente. Met haar groep onderzoekt ze de menselijke factoren bij fraude en criminaliteit in het cyberdomein. Investeren in medewerkers maakt bedrijven minder kwetsbaar voor deze dreigingen.
Betty Rombout
“Bedrijven en organisaties worden bedreigd door (cyber)aanvallen. Business continuity is het proces dat potentiële bedreigingen identificeert en bepaalt wat de uitwerking op de ‘operatie’ van de organisatie is als deze daadwerkelijk manifest worden. De menselijke factor is hierbij bepalend. Veel van onze experimenten gaan dan ook over hoe medewerkers reageren op (cyber)crime en hoe we ze alerter kunnen maken,” schetst Marianne Junger de samenhang tussen cyber security en business continuity.
Human factor
In de stroom van onderzoeken van Junger en haar groep gaat het dan ook met name over de menselijke factor bij cybercrime. Een van de studies die zich momenteel in een afrondende fase bevindt, gaat over bedrijven die slachtoffer zijn van fraude bestaande uit offline acquisitiefraude, offline spookfacturen en online CEO-fraude. Hierbij gaat het niet om de fouten in codes, programma´s en hardware, maar om human factors. In de studie is met name gekeken naar de typen bedrijven die slachtoffer zijn en de ‘beloning’ voor de criminelen.
CEO-fraude bij Pathé
Online CEO-fraude gebeurt met name via e-mail. Een goed voorbeeld hiervan is de Pathé-zaak. De bioscoopketen werd in 2018 slachtoffer van deze vorm van fraude, waarbij de criminelen meer dan 19 miljoen euro buit maakten. Ze deden zich voor als directeuren van het Franse hoofdkantoor en stuurden e-mails naar de Nederlandse directie met het verzoek om geld over te maken. De tweekoppige directie werd gevraagd om 800.000 euro over te maken om een overname in het buitenland te bekostigen, met het dringende verzoek niemand op de hoogte te stellen van de transacties om concurrenten de wind uit de zeilen te nemen. In de berichten werd ook verzocht om het contact strikt via de e-mail te onderhouden. De Nederlandse directie van Pathé had zijn twijfels, maar werkte desondanks toch mee. Na de eerste transacties vroegen de fraudeurs om steeds grotere bedragen. Omdat er te weinig geld was om over te maken, moest de Nederlandse directie een aanvraag indienen bij een zogeheten cash-pool van het Franse moederbedrijf. Toen het echte hoofdkantoor in Frankrijk contact opnam om te informeren naar het ‘waarom’, werd duidelijk dat er CEO-fraude was gepleegd.
Vanwege rechtszaak bekend geworden
“In dit voorbeeld is uitzonderlijk veel geld buitgemaakt”, aldus Junger. “Pathé wilde het niet aan de grote klok hadden. Maar de mensen die erbij betrokken waren, werden ontslagen. Zij vonden dit onterecht en hebben toen een rechtszaak aangespannen en zo kwam de zaak in de media.”
Acquisitiefraude en spookfacturen
Acquisitiefraude gebeurt vaak per telefoon, spookfacturen komen meestal via de post. Junger: “Afhankelijk van wat voor type fraude het is, zie je ook het verschil in typen bedrijven en in de hoeveelheid cash die ermee is gemoeid. De eerder genoemde CEO-fraude betreft vooral grote bedrijven en het gaat, zoals het voorbeeld aantoont, vaak om grote bedragen. Bij acquisitiefraude en spookfacturen liggen de bedragen lager en niet alleen grote, maar ook kleine bedrijven kunnen het slachtoffer zijn.”
Spookfacturen worden vooral in de lente verstuurd
Elk bedrijf kan slachtoffer worden van fraude
In totaal hebben Junger en haar groep naar ruim 300 zaken gekeken en vergelijkingen getroffen. Bij 10 procent van deze zaken is de fraude via e-mail, telefoon of post uiteindelijk ook gelukt. Junger: ¨De door ons onderzochte bedrijven bevinden zich verspreid over Nederland. Welke vorm van fraude dan ook gepleegd is, uit ons onderzoek blijkt dat deze niet gelinkt kan worden met een bepaald type bedrijf.”
Aansluiten bij routine bedrijf
Wel blijken de daders in de meeste gevallen aan te sluiten bij de routine van bedrijven. Junger legt uit: “Spookfacturen blijken vooral in de lente te worden verstuurd. In die periode vindt namelijk de afsluiting van het fiscale jaar plaats en medewerkers zijn dan bezig zijn met het betalen van achterstallige rekeningen. Acquisitiefraude is niet aan een bepaald tijdstip verbonden, terwijl CEO-fraude meestal in de zomer plaatsvindt als mensen op vakantie zijn.”
Hoogte van het bedrag hangt af van de inspanningen
Junger vervolgt: “Er bestaat ook een relatie tussen de inspanningen die de daders moeten doen en de hoogte van het bedrag dat ze eisen. Frauduleuze rekeningen zijn een random shot. Oftewel, ze versturen zoveel mogelijk spookfacturen in de hoop dat er een of meerdere bedrijven betalen. Bellen kost criminelen over het algemeen meer moeite en dus wordt er in die gevallen meer geld gevraagd.”
Van kleine bedragen tot serieus geld
En om welke bedragen gaat het dan uiteindelijk? Uit het onderzoek blijkt dat bij spookfacturen in 50 procent van de gevallen het om minder dan 175 euro gaat. Bij frauduleuze contracten ligt dat bedrag op gemiddeld 361 euro. Maar in geval van CEO-fraude gaat het om serieus geld en is het gemiddelde bedrag 91.000 euro.
Investeren in medewerkers
De conclusies uit het onderzoek zijn duidelijk. Wat dan rest is de vraag hoe bedrijven zich kunnen wapenen tegen deze vormen van zowel offline als online fraude? “Voorkomen is beter dan genezen”, stelt Junger. “Medewerkers bewust maken van het gevaar van fraude is dan ook heel belangrijk. Ik adviseer bedrijven om in hun medewerkers te investeren om zo hun kennis over de gevaren van fraude te vergroten. Verloop onder medewerkers is daarom niet goed als je het hebt over fraudepreventie. Want hoe korter mensen voor een bedrijf werken, hoe groter de kans dat er een fraudeslachtoffer valt. Denk aan phishing; de medewerker weet vaak nog niet precies wat in dat geval de procedures zijn. Bovendien heeft zo iemand ook nog geen binding met het bedrijf. Naast het investeren in medewerkers, helpt het natuurlijk ook om procedures op te stellen. Bijvoorbeeld dat het onmogelijk is om zomaar 1 miljoen euro over te maken, zonder dat dit niet eerst bij een bepaalde functionaris in het bedrijf is gecheckt.”
Hoe meer we online communiceren, des te kwetsbaarder we worden
Mensen zijn vaak te goed van vertrouwen
Tot slot zegt Marianne Junger: “De techniek wordt steeds beter. Dat is mooi, maar het betekent ook dat de menselijke factor relatief steeds belangrijker wordt. E-mail en appen, het hoort er het tegenwoordig allemaal bij. We krijgen dit soort berichten niet alleen op het werk, maar ook op onze privé mobiel. En hoe meer we online communiceren, des te kwetsbaarder we worden. Want let wel, wij mensen zijn vaak te goed van vertrouwen.”
Betty Rombout is freelance journalist
– Op weg naar een volwassen cyber security
– Wetenschap werkt aan blauwdruk Internet of Secure
– Alles over cyber security
Volg Security Management op LinkedIn