Contact

Eén mail. Eén rekeningnummer En €23.000 weg…

Een KMO-zaakvoerder ontvangt een mail van zijn leverancier. Het rekeningnummer voor de volgende betaling is gewijzigd. De mail ziet er identiek uit — zelfde logo, zelfde naam, zelfde toon. Hij betaalt. De echte leverancier weet van niks.

Dit is geen sci-fi scenario. CEO-fraude en factuurfraude zijn de snelst groeiende vormen van digitale criminaliteit bij Belgische KMO’s. En het wapen is geen geavanceerd hackerprogramma — het is een goed nagemaakte e-mail en een ontbrekende procedure.

De voornaamste oplossingen zijn eigenlijk niet mee geëvolueerd. Eén overtuiging is  al bijna 20 jaar onveranderd: een doordachte backoffice is je beste firewall. En laat dat nu net zijn waar onze Supporters het verschil maken.

Wat raden wij onze klanten aan?

Geen rocket science, wel heldere en haalbare afspraken:
1) Hanteer een vier-ogenprincipe, zowel bij goedkeuring van facturen als bij betalingen
2) Ben je als bedrijfsleider minder betrokken bij betalingen? Zorg voor korte communicatielijnen en maak expliciet dat mensen altijd mogen (en moeten) checken bij twijfel
3) Werk met een vaste leverancierslijst met gevalideerde rekeningnummers
4) Wijziging van rekeningnummer? Bel altijd de leverancier via een nummer dat je zelf opzoekt — en vraag nadien nog een bevestiging via mail (ja, ook voor kleine bedragen)
5) Documenteer en communiceer je processen duidelijk — en herhaal regelmatig dat uitzonderingen niet de norm zijn (zoals voorschieten of “even snel” cadeaubonnen kopen)
6) Geef zelf het goede voorbeeld: initieer geen uitzonderingen

Wat is CEO-fraude en factuurfraude?

Criminelen gebruiken twee hoofdtechnieken om KMO’s op te lichten:

  • CEO-fraude: een medewerker of boekhouder ontvangt een dringende mail die schijnbaar van de zaakvoerder komt, met het verzoek om snel een betaling te doen — vertrouwelijk, geen vragen stellen.
  • Factuurfraude: een mail die perfect lijkt te komen van een bekende leverancier meldt dat het rekeningnummer is gewijzigd. De volgende factuur wordt naar het frauduleuze account gestort.

Wat beide aanvallen gemeen hebben: ze zijn zo goed nagemaakt dat IT-filters ze vaak niet onderscheppen. De zwakste schakel is niet de technologie — het is het ontbreken van een administratief veiligheidsprotocol.

Waarom KMO’s het vaakst getroffen worden

Grote bedrijven hebben strikte betalingsprocessen: meerdere handtekeningen, gelaagde goedkeuringen, vaste procedures bij leverancierswijzigingen. KMO’s werken sneller en informeler — en dat is precies waar criminelen op rekenen.

Ze weten dat een zaakvoerder een dringend betalingsverzoek zelf afhandelt. Ze weten dat een rekeningwijziging zelden telefonisch geverifieerd wordt. Ze weten dat er geen vaste leverancierslijst bestaat.

De drie technieken die criminelen gebruiken

  • “Dringend — voor vandaag 17u betaald hebben” → tijdsdruk is een alarmsignaal, geen reden om sneller te betalen
  • “Vertrouwelijk — zeg het aan niemand” → nooit een reden om de procedure te omzeilen
  • “Ik ben onderweg, ik kan niet gebeld worden” → stuur dan een bevestigingsmail naar het gekende adres en wacht

Conclusie

Phishing is niet louter een IT-probleem. Het is een administratieprobleem. De KMO’s die het minst kwetsbaar zijn, zijn niet de bedrijven met het duurste antiviruspakket — het zijn de bedrijven met de meest gestructureerde backoffice.

Wil je weten of jouw betalingsprocessen voldoende beveiligd zijn? De Supporters helpt je de juiste procedures op te zetten.

De Supporters staan klaar om jouw zaak te helpen.
> Contacteer ons
Zelf Supporter worden?
> Registreer jou
Categorieën:

Office management, Finance, HR

Deze artikels vind je mogelijk ook interessant: