Fraudehelpdesk waarschuwt voor hackers

Fraudehelpdesk waarschuwt voor hackers die het op salarissen gemunt hebben

- 9 August 2018

Bij de Fraudehelpdesk zijn meldingen binnengekomen over oplichters die dankzij het hacken van e-mailaccounts salarisbetalingen hebben kunnen onderscheppen. De fraude kwam aan het licht toen diverse medewerkers geen salaris ontvingen, waarna bleek dat zij zelf een mail gestuurd zouden hebben met het verzoek om het salaris op een andere rekening te storten. Dat was uiteraard niet het geval: dat bericht kwam van de hackers die de gegevens van het e-mailaccount wisten te bemachtigen. 

De waarschuwing van de Fraudehelpdesk is daarmee in de eerste plaats bedoeld voor iedereen ('ga zorgvuldig met je mailaccount en wachtwoorden om en wees alert op phishing!'), maar ook specifiek voor medewerkers van een salarisadministratie: wees alert als je per e-mail het verzoek krijgt om een rekeningnummer te wijzigen en neem als extra controle contact op via een andere weg dan e-mail. 

Sterke wachtwoorden

Door altijd je computer en je mobiele apparaten te vergrendelen, wordt het indringers al een stuk moeilijker gemaakt om bij onze gegevens te komen. Daarnaast zijn er meer tips om je te wapenen tegen phishing. Maar dan is het wel belangrijk dat we sterke wachtwoorden gebruiken, want anders heeft het geen zin.

Een vuistregel is daarom: maak je wachtwoord uniek. Blijf weg van ‘welkom123’, maar bedenk ook iets nieuws ten opzichte van de wachtwoorden voor al je persoonlijke accounts. Want gebruik je overal dezelfde, dan heeft iemand die het vindt of kraakt ook overal toegang. Houd je werkwachtwoord(en) dus uniek voor je werk.

Een tweede vuistregel luidt: hoe meer tekens, hoe beter. Gebruik er minimaal 10, waarbij je hoofd- en kleine letters, cijfers en leestekens afwisselt. Dat hoeft heus niet complex te zijn, zoals ‘Sv&$2_**@HdF’. Sterker nog, drie willekeurige woorden of een kort zinnetje zijn minstens zo slim, zolang je geen onderdelen van je gebruikersnaam gebruikt. Of delen van de bedrijfsnaam, familienamen of je huisdier. Neem bijvoorbeeld ‘stoompan-VULKAAN-fruitvlieg’: 27 karakters, zo goed als onkraakbaar. 

Deel je inloggegevens daarom nooit met iemand, ook niet met je collega’s. Gebruik daarnaast een wachtwoordkluis om sterke wachtwoorden te maken én deze veilig te bewaren. De diensten die we aanraden zijn KeePass en LastPass. Die helpen je meteen om al die ingewikkelde wachtwoorden te onthouden.

Heb je een vermoeden dat je account gehackt is? Verander dan onmiddellijk het wachtwoord, óók van alle andere digitale accounts - zoals bank(en), webshops, social media, et cetera. Via de site Have I been Pwned kun je checken of je gegevens gelekt zijn bij een datalek. Dat is overigens geen garantie dat inloggegevens en wachtwoord inderdaad niet in handen van criminelen zijn gevallen.

'Factureren per mail riskant'

Een onderneming in de Randstad is ruim 220.000 euro kwijtgeraakt doordat een bedrag naar een verkeerde bankrekening is overgemaakt, zo meldde de Fraudehelpdesk vandaag ook. Deze vorm van fraude treft dus niet alleen medewerkers en de salarisadministratie. Het mailverkeer tussen het bedrijf en een leverancier in Italië werd onderschept, waarna betaling van een factuur werd omgeleid. 

'Het Nederlandse bedrijf had voor een grote opdracht speciale stalen constructies besteld bij een producent in het Zuid-Europese land. Die stuurde een factuur per e-mail, waarna nog een e-mail volgde met een nieuw bankrekeningnummer. Ter verificatie vroeg de administratie in Nederland in een retourmail – die dus bij de hacker terechtkwam – of het banknummer juist was. Uiteraard luidde het antwoord ‘ja’.'

Over de Fraudehelpdesk

De Fraudehelpdesk wil zoveel mogelijk voorkomen dat de Nederlandse bevolking slachtoffer wordt van fraude. Dat gebeurt door mensen bewust te maken van de risico’s op fraude. De Fraudehelpdesk ziet alles wat met oplichting te maken heeft, als fraude. Het gaat bijvoorbeeld om iemand die een ander geld probeert af te troggelen. Ook kan het zijn dat een fraudeur op persoonlijke gegevens uit is om identiteitsfraude te plegen. In de Top 10 van meest gemelde fraude in 2017, met onder meer acquisitiefraude (2), spooknota's voor particulieren (3) en Marktplaats/webwinkelfraude (4) staat cybercrime op nummer 1. Cybercrime is de naam voor alle computer- en internetgebonden vormen van criminaliteit, waarbij de helpdesk onderscheid maakt tussen phishing, malware, spam en Microsoft-telefoontjes.

Slachtoffers wordt een helpende hand geboden door hen naar de juiste instantie te verwijzen, want de Fraudehelpdesk heeft geen opsporingsbevoegdheid. De helpdesk is een private stichting, maar krijgt wel subsidie van het ministerie van Veiligheid en Justitie. Bij de helpdesk kunt je een e-mail die je niet vertrouwt melden door deze door te sturen naar valse-email@fraudehelpdesk.nl. Uiteraard meld je de situatie ook intern bij de ICT-servicedesk en/of je leidinggevende. 

CEO-fraude

CEO-fraude is een vorm van phishing of social engineering waarbij de dader een medewerker van het bedrijf benadert alsof hij/zij een directeur of andere hooggeplaatste functionaris is. Het doelwit is vaak een manager of bijvoorbeeld een medewerker van de boekhouding of financiële afdeling. Hij of zij wordt vriendelijk maar met de nodige urgentie verzocht om een betaling uit te voeren, meestal naar het buitenland en naar een vooralsnog onbekende relatie.

Een vergelijkbare situatie dus, maar in dit geval hebben de hackers het op de financiën van een bedrijf gemunt, niet op het salaris van individuele medewerkers. Wat deze vorm van fraude echter net zo ingrijpend maakt, is het feit dat de daadwerkelijke overboeking eveneens door een medewerker binnen de organisatie wordt uitgevoerd. Een medewerker die daar bovendien toe bevoegd is, ook al zal later blijken dat de opdracht van een fraudeur van buiten het bedrijf kwam. Dat maakt het erg lastig om –tijdig– te ontdekken, laat staan om het terug te draaien. Ten tweede zullen banken en verzekeraars de geleden schade niet vergoeden. Het buitgemaakte bedrag is immers volgens de reguliere kanalen overgeboekt. Je leest hier meer over CEO-fraude.

LEES OOK: Alles wat je moet weten over blockchain