De top van Pathé Nederland is opgelicht voor 19 miljoen euro. Het bedrijf is niet het eerste slachtoffer van CEO-fraude. Hoe kan dat? ‘Je voelt je gevleid als de CEO je vraagt voor iets geheims.’
Eerder deze maand kwam er een spectaculair verhaal in het nieuws. De Nederlandse directie van de Franse bioscoopketen Pathé was slachtoffer geworden van zogeheten CEO-fraude, en wel voor 19 miljoen euro. Een groot bedrag voor een bedrijf dat in 2017 een omzet had van 209 miljoen euro. De zaak kwam in de openbaarheid omdat een van de directeuren zijn ontslag op staande voet aanvocht. Meestal houden bedrijven zoiets liever stil. Het maakt geen snuggere indruk als je wordt opgelicht.
Mailtje van de baas
CEO-fraude wordt zo genoemd omdat de oplichter zich heel behendig voordoet als de CEO van een bedrijf, zich bedient van diens mailadres – of een adres dat er sterk op lijkt – en diens handtekening. Vaak worden bedrijven uitgezocht met het hoofdkantoor in één land en vestigingen in diverse andere landen. Pathé heeft zijn hoofdkantoor in Frankrijk, de Nederlandse vestiging was doelwit. De afstand maakt het dan moeilijk om snel te overleggen.
Dit soort fraude neemt toe, want het is behoorlijk lucratief. Fraude kan worden gemeld bij de Fraudehelpdesk van de Stichting Aanpak Financieel-Economische Criminaliteit in Nederland. Maar dat doet lang niet iedereen. De helpdesk bestaat sinds 2011, de eerste meldingen van CEO-fraude kwamen binnen in 2015. Het schadebedrag daar is 2,7 miljoen euro over de eerste negen maanden van 2018. In 2016 was dat 650.000 euro. Wereldwijd gaat het om flinke bedragen: volgens het Amerikaanse Internet Crime Complaint Center van de FBI bedraagt de schade tussen oktober 2013 en mei 2018 11 miljard euro.
Begin 2016 werd de Belgische bank Crelan opgelicht voor 70 miljoen euro: de complete jaarwinst in één keer weg. In 2015 maakten oplichters bijna 30 miljoen euro buit bij de Amerikaanse financieel dienstverlener Xoom. En de Italiaanse voetbalclub Lazio Roma liet zich dit jaar 2 miljoen euro aftroggelen.
Wat ging er mis bij Pathé?
Volgens het Amerikaanse Internet Crime Complaint Center van de FBI bedraagt de schade door CEO-fraude tussen oktober 2013 en mei 2018 11 miljard euro
Wat gebeurde er bij Pathé? In het vonnis van de rechtbank – spannend om te lezen – is precies te volgen hoe de oplichters te werk gingen. Ze deden zich voor als de inmiddels ook vertrokken Franse CEO van Pathé, Marc Lacan, en als een nazaat van een van de oprichters. Met mensen op die positie heb je niet vaak contact als je in Nederland werkt, zelfs niet wanneer je daar in de directie zit.
In die mail wordt gesproken van een bijzondere, geheime transactie, een overname in Dubai. Alles moest ‘strikt vertrouwelijk’ blijven, er mocht met niemand over worden gepraat om de transactie niet in gevaar te brengen. En onder de mails stond steeds de naam van Lacan en die van een ander lid van de raad van bestuur. Communicatie mocht alleen via het gebruikte mailadres verlopen, en mondje dicht dus. Ondanks aarzelingen gaat de directie akkoord en betaalt 19 miljoen. De oplichting komt uit als de Franse directie vragen stelt over dat grote bedrag.
Oplichting volgt een vast patroon
Deze vorm van oplichting verloopt vaak via een vast patroon. Het is in een bedrijf als Pathé niet voor de hand liggend of zelfs onmogelijk om even binnen te lopen bij de hoogste baas en te vragen om wat voor deal het gaat en of hij die mail wel echt heeft gestuurd. Fysiek onmogelijk, maar ook psychologisch moeilijk. De gezagsverhoudingen zijn in Frankrijk anders dan die in het egalitaire Nederland. En de oplichters hebben de verhoudingen binnen zo’n bedrijf grondig bestudeerd. Via internet kunnen ze simpel vinden wie waar werkt. Soms blijken ze zelfs uitstekend op de hoogte van interne procedures, waarnaar ze dan ook verwijzen.
In deze video van ABN AMRO wordt uitgelegd hoe de fraude werkt én wat u als bedrijf er aan kunt doen om het te voorkomen:
Je kan jouw keuzes op elk moment wijzigen door onderaan de site op "Cookie-instellingen" te klikken."
Bij de Fraudehelpdesk kunnen ze alleen waarschuwen: betaal nooit op basis van een e-mail alleen, hoe geloofwaardig ook, en wees terughoudend met het plaatsen van online-informatie. Zulke oplichters zijn niet alleen precies op de hoogte van allerlei cybertrucjes, ze hebben vooral kennis van de menselijke ziel, diens ijdelheid en onzekerheid.
Aantal zaken stijgt
Bij Hoffmann Bedrijfsrecherche (‘Vertrouwen is goed, Hoffmann is beter’) is directeur Martijn van de Beek (43) discreet over zijn opdrachtgevers. Hij houdt het algemeen. Ook hij ziet dat deze vorm van oplichting toeneemt. ‘We hebben zo’n vijftig zaken per jaar en dit jaar zien we een stijging. Een bedrijf haalt ons erbij als ze denken dat mensen van binnenuit bij fraude zijn betrokken, of als ze willen weten hoe iets heeft kunnen gebeuren. Wij gaan dan na wat er precies is gebeurd en vaak blijkt dat het interne protocol niet is gevolgd.’
Maar waarom niet? Deze vorm van fraude, feitelijk niets anders dan ouderwetse oplichting met behulp van digitale middelen, mensen dwingt om mee te gaan in het betoog van de oplichter, legt Van de Beek uit.
Je voelt je gevleid
‘Het gaat om een delicate operatie waarin om vertrouwen wordt gevraagd. Ja, er wordt van de regels afgeweken, maar dit is de CEO en die mag dat. Je voelt je enorm gevleid als de CEO je vraagt mee te doen met iets geheims. Je voelt je gezien, belangrijk. Als je die mail gelooft en de oplichters weten hoe het werkt in je bedrijf, ja, dan snap ik wel dat mensen erin meegaan. Het lijkt zo echt.
‘Wij zeggen: wijk nooit af van afspraken en procedures, ook niet als het gaat om een spoedbetaling in verband met een overname. Bij twijfel stel je een vraag. Dat is nooit dom. Pak de telefoon. Maar in een bedrijf dat topdown wordt bestuurd, zullen mensen eerder klakkeloos doen wat de CEO ze vraagt, ook als het een nep-CEO is.’ Zeker in het geval van Pathé, waar de Nederlandse directie eens per jaar kort werd ontvangen in Parijs, en waar men niet eens het telefoonnummer van de Franse bazen had.
Werken aan gedragsverandering
Waarom wijken mensen af van procedures? Om dat uit te zoeken en er ook iets aan te doen, heeft Hoffmann een paar jaar geleden psycholoog Inge Wetzer in dienst genomen. Inmiddels zijn er vijf gedragswetenschappers werkzaam bij Hoffmann. Wetzer (39): ‘Menselijk gedrag is een expertise apart. Het is geen gebrek aan kennis. Appen in de auto? We weten dat we het niet moeten doen, maar we doen het toch. Als je dit soort misstanden wilt voorkomen, moet je het anders aanpakken. Dan moet je kijken naar werkelijk gedrag en gewenst gedrag en naar de kloof daartussen.’ Gedragsverandering dus. Bij Pathé volgde ontslag op staande voet, maar dat alleen volstaat niet. Een bedrijf moet ook uitzoeken waarom mensen zich hiertoe laten verleiden.
‘Zo’n maatregel nemen en overgaan tot de orde van de dag is niet genoeg,’ zegt Van de Beek van Hoffmann. ‘De context waarbinnen het kon misgaan, verandert dan niet. Voelen mensen te veel vrijheid? Hadden ze een te groot tekenmandaat? Leg dan vast dat alles boven de 5 ton door twee mensen wordt getekend. Zorg er in elk geval voor dat je geen returning customer wordt bij ons voor soortgelijke gevallen die je had kunnen voorkomen.’
Oplichters maken gebruik van motivatie, capaciteit en gelegenheid
Wetzer noemt drie aspecten van gedrag waarvan oplichters gebruik kunnen maken. Motivatie: je moet iets willen. Capaciteit: je moet het ook kunnen. En gelegenheid: je moet ertoe in staat zijn. ‘Als een van die aspecten slim wordt aangesproken – bij CEO-fraude is dat vaak motivatie – wijken mensen af van het strengste protocol. En dat doen ze, inderdaad, als er een beroep wordt gedaan op hun ijdelheid. De oplichters zetten zo iemand op een voetstuk. Die wordt getriggerd om mee te werken.’
Het is moeilijk te zeggen wie de oplichters zijn. Ze kunnen overal vandaan komen, en het geld kan ook overal naartoe. En zie het maar eens terug te krijgen als het eenmaal is overgemaakt naar een obscure bankrekening in China of Afrika.
Ooit waren phishing mails zo onnozel dat je wel kon zien dat je werd bedot. Maar cybercriminelen zijn steeds slimmer geworden. Soms kunnen ze zich zelfs – via een uitgekookte phishing mail waarop je toch klikt – toegang verschaffen tot je systeem en alles meelezen. Dan ben je het haasje, want op die manier kunnen ze steeds meer informatie vergaren, over hoe je communiceert met je chef, je collega’s. En dan is echt bijna niet meer te onderscheiden van nep.