Bescherm uw onderneming tegen fraude.
1 Fraude aan bedrijven 1 Fraude aan bedrijven 3 Welke informatie vindt u in deze brochure? Hoe gebruikt u deze brochure? 2 Social engineering of CEO-fraude 4 Wat is social engineering? Hoe kunt u uw bedrijf beschermen? 3 E-fraude 5 Wat is e-fraude? Hoe kunt u zich beschermen? Goede afspraken over het beheer van online betalen. Welke informatie vindt u in deze brochure? In deze brochure vertellen we u meer over de meest voorkomende gevallen van fraude waarmee uw bedrijf geconfronteerd kan worden. En we geven advies om u hiertegen te beschermen. U zult merken dat fraudeurs slim zijn en heel georganiseerd werken. De beschreven fraudegevallen zijn niet onschuldig: ze gebeuren elke dag, overal ter wereld. Wees dus voorzichtig. Belangrijk! Als u toch fraude vaststelt nadat de overschrijving werd uitgevoerd, breng dan onmiddellijk uw contactpersoon bij ING op de hoogte. Hij of zij kan proberen om het geld te blokkeren voor het voorgoed verdwijnt. Na een termijn van 24 uur is het zo goed als onmogelijk om gestolen geld terug te vinden. Hoe gebruikt u deze brochure? 2 4 Fraude met facturen 6 Wat is fraude met facturen? Verschillende varianten van fraude met facturen. Hoe kan de verzender van de factuur zich beschermen? Hoe kan de ontvanger van de factuur zich beschermen? 5 Met wie kunt u contact opnemen bij twijfel of fraude? 7 We raden u aan om dit document te verspreiden in uw bedrijf. Spoor de directieleden en alle medewerkers die een volmacht hebben op de bedrijfsrekeningen aan om deze brochure te lezen. Zij zijn vaak immers het doelwit van de fraudeurs. Uw bedrijf volledig beschermen is jammer genoeg niet mogelijk, want bij fraude speelt vaak ook een menselijke factor mee. Door de aanbevelingen in deze brochure te delen met uw medewerkers en toe te passen in uw bedrijf, kunt u de risico s echter wel aanzienlijk beperken. ING geeft u deze brochure louter ter informatie. Deze heeft geen enkele contractuele waarde. ING kan dus in geen geval aansprakelijk gesteld worden op basis van deze brochure. Ook niet als uw bedrijf, ondanks deze aanbevelingen, het slachtoffer wordt van een van de fraudegevallen beschreven op deze bladzijden. 3
2 Social engineering of CEO-fraude 3 E-fraude 4 Wat is social engineering? Bij social engineering worden gegevens over een beoogd bedrijf verzameld om daarna een interne medewerker van dat bedrijf te manipuleren zodat hij of zij een handeling stelt (vaak een betaling) of vertrouwelijke informatie onthult. 1 De fraudeurs nemen via e-mail of telefoon contact op met uw bedrijf en geven zich uit voor auditeurs, bedrijfsrevisoren of een overheidsdienst die een onderzoek voert. Op die manier zamelen ze informatie in over de interne betalingsprocedures van uw bedrijf en over de personen die de betalingen uitvoeren. 2 Dan nemen ze contact op met de medewerkers van uw bedrijf die een volmacht hebben om grote betalingen uit te voeren en ze geven zich uit voor de CEO of CFO (die meestal op dat moment in een andere entiteit van de groep werkt). Ze verzinnen een verhaal over een mogelijke overname van een buitenlandse concurrent waarvoor een grote som geld overgeschreven moet worden. Of ze beweren dat de belastingdienst een controle uitvoert in een andere entiteit van de groep en dat er fondsen overgeschreven moeten worden naar deze entiteit. Ook andere scenario s zijn mogelijk. In alle gevallen wordt uitdrukkelijk gezegd dat de transactie dringend uitgevoerd moet worden en dat alles in het grootste geheim moet gebeuren. 3 De fraudeurs gaan soms zelfs nog een stap verder en laten een extern consultancybureau tussenkomen (waarvan ze de identiteit aangenomen hebben) om meer geloofwaardigheid te geven aan de verrichting. Dit consultancybureau neemt dan contact op met de medewerker van uw bedrijf om de verrichting te bevestigen en te herhalen dat de betaling dringend en in het grootste geheim uitgevoerd moet worden. Als de medewerker aarzelt, gebruiken de fraudeurs tal van trucs. Ze zullen bijvoorbeeld namen van topmannen in het bedrijf vermelden, de medewerker vleien of zelfs bedreigen. Hoe kunt u uw bedrijf beschermen? Wees voorzichtig met elke vraag om dringend en in het geheim geld over te schrijven. Als u een dringende vraag krijgt, bel de aanvrager dan altijd terug op een telefoonnummer dat u kent. Laat de dubbele handtekening nooit over aan dezelfde persoon (kaarten en pincodes). Extra bescherming: stel een aanspreekpunt aan (niet de CEO of CFO) bij wie de medewerkers terechtkunnen als er een vertrouwelijke of dringende aanvraag binnenkomt. Deze persoon kan dan persoonlijk contact opnemen met de bedrijfsleider om na te gaan of de aanvraag echt is. Opgelet, niemand buiten het bedrijf mag weten dat deze persoon werd aangesteld. Wat is e-fraude? E-fraude is de verzamelnaam voor phishing en virussen veroorzaakt door malware. Deze vorm van fraude kan zich voordoen in uw bedrijf, maar ook in uw privéleven. De fraudeurs zullen proberen om geld te stelen door de aanmeldcodes en de elektronische handtekening van hun slachtoffer te achterhalen. Met deze codes halen ze dan uw bankrekeningen leeg door het geld over te schrijven op hun eigen rekeningen. 1 U krijgt een e-mail, zogenaamd van uw bank, waarin beweerd wordt dat de bank een veiligheidscontrole uitvoert, een rekening zal blokkeren of een van de aangeboden diensten aanpast. Er kunnen ook andere redenen vermeld worden. De fraudeurs hopen telkens dat u op de link in de mail zult klikken waardoor u terechtkomt op een valse aanmeldpagina van uw pc-banking. 2 Als u uw aanmeldcodes invoert op deze pagina, kunnen de fraudeurs die ophalen, want u bevindt zich op hun website en niet op de website van uw bank. Met deze codes kunnen de oplichters dan toegang krijgen tot uw pc-banking en verrichtingen voorbereiden. Nu hebben ze alleen nog een handtekeningcode nodig om het geld van uw rekeningen te halen. 3 Om deze handtekeningcode te verkrijgen, bellen ze u met de vraag om uw kaart in uw kaartlezer te steken (dit noemen we vishing), of u krijgt een scherm te zien met de vraag om enkele minuten te wachten. Als de tijd verstreken is, komt u op een nieuw scherm terecht waar u gevraagd wordt om de handtekeningcode in te geven (dynamische phishing). Hoe kunt u zich beschermen? Geef uw codes van pc-banking nooit aan iemand anders. Als iemand u vraagt om uw kaart in uw lezer te steken en hem de code van op het scherm te geven, is dat verdacht. Teken nooit een transactie die u niet zelf hebt ingevoerd (u krijgt de vraag om een code te creëren met uw kaartlezer door op de toets voor ondertekenen te klikken, die verschilt van de toets voor aanmelden, terwijl u geen betaling aan het uitvoeren bent). Goede afspraken over het beheer van online betalen Bepaalde handelingen binnen uw bedrijf kunnen het fraudeurs gemakkelijker maken en uw bedrijf kwetsbaarder maken voor fraude. Slecht beheer van de dubbele handtekening: de dubbele handtekening is ook een manier om fraude op te sporen. De persoon die de tweede handtekening moet plaatsen, staat los van de transactie en zal de fraude sneller opmerken. Laat beide handtekeningen nooit over aan dezelfde persoon en controleer alles wat u ondertekent. Gedeelde toegang tot de bedrijfsrekeningen: het is vaak gemakkelijker om de toegang tot pc-banking van het bedrijf te delen. Een medewerker die toegang heeft, geeft de codes door aan zijn of haar collega s. Maar zo neemt het risico van fraude toe en weet u ook niet op wie de fraudeurs het gemunt hadden. Verkeerd gebruik van de volmachten op de rekeningen: door uw elektronische toegang tot de bedrijfsrekeningen te delen, deelt u ook uw volmachten. Zo geeft u ook toegang tot uw privérekeningen. Elke mandataris moet een eigen toegang tot de bedrijfsrekeningen hebben. Dat is veiliger voor het bedrijf en ook voor de medewerker zelf, die zo enkel de transacties kan uitvoeren die gekoppeld zijn aan zijn of haar volmachten. Deel uw betaalmiddelen nooit, want zo deelt u ook uw rechten op de bedrijfsrekeningen. 5
4 Fraude met facturen 5 Met wie kunt u contact opnemen bij twijfel of fraude? Wat is fraude met facturen? Fraude met facturen komt vaak voor. In deze gevallen vervangen de fraudeurs de bankgegevens van de firma die de factuur heeft opgesteld door hun eigen bankgegevens om zo de gefactureerde bedragen te innen. 1 De fraudeurs onderscheppen de factuur tussen het ogenblik waarop die per post verstuurd wordt en het ogenblik waarop die ontvangen wordt. Of ze hacken de mailboxen om facturen te onderscheppen die via e-mail verstuurd worden. 2 De fraudeurs wijzigen de factuur door er hun eigen bankgegevens op te vermelden. Dat kunnen ze op verschillende manieren doen: ze stellen een nieuwe factuur op met nieuwe gegevens, ze kleven een sticker (vaak fluorescerend) met de bankgegevens van de fraudeurs over de echte bankgegevens om uw bedrijf te doen geloven dat de verzender van de factuur van bank veranderd is, enz. Dan sturen ze de factuur opnieuw op. 3 De factuur komt binnen in uw bedrijf en het geld wordt op de nieuwe bankrekening gestort. De kans is groot dat dit ook zo gaat met de volgende facturen, tot de echte verzender van de factuur beseft dat zijn facturen niet betaald worden en contact opneemt met uw bedrijf. Verschillende varianten van fraude met facturen. Er bestaan verschillende varianten van fraude met facturen. Zo krijgt het schuldplichtige bedrijf bijvoorbeeld een e-mail die van de leverancier lijkt te komen waarin die laat weten dat hij van bank en dus van rekeningnummer veranderd is. De mail heeft de hoofding van de leverancier en ziet er echt uit. In dit geval wordt de factuur niet onderschept, maar sturen de fraudeurs gewoon een bericht met nieuwe bankgegevens. Alle openstaande en volgende facturen moeten betaald worden op het nieuwe rekeningnummer. In al deze gevallen proberen de fraudeurs een wijziging door te voeren in de zogenaamde statische gegevens van de leverancier (telefoonnummer, bankgegevens, e-mailadres) om geld te kunnen stelen. Hoe kan de verzender van de factuur zich beschermen? Om het risico te beperken dat uw facture onderschept worden, stuurt u die beter niet in een envelop met uw logo of een naam waaraan uw bedrijf herkend kan worden. Het wordt ook aangeraden om elke factuur langs twee wegen te versturen. Bijvoorbeeld via e-mail en per post. Laat uw schuldenaar dan weten dat hij de facturen pas moet betalen als beide ontvangen facturen identiek zijn. Door de bankgegevens in het rood te vermelden op de factuur, kunnen die eenvoudiger gecontroleerd worden voor betaling. Hoe kan de ontvanger van de factuur zich beschermen? U kunt zich beschermen tegen deze vorm van fraude via een eenvoudig bevestigend telefoontje (call back). Check elke wijziging in de statische gegevens van uw leveranciers (adres, telefoonnummer, e-mail, rekeningnummer ) door te bellen naar het gebruikelijke nummer (en niet naar het nummer vermeld op de factuur). Zo wordt elke poging tot fraude snel opgemerkt. In België Special-Investigations@ing.be Als u een poging tot fraude vaststelt of als uw bedrijf het slachtoffer is van fraude, breng dan onmiddellijk uw contactpersoon bij ING op de hoogte. Als u uw bank snel verwittigt, is de kans groter dat u het gestolen geld terugvindt. U moet eventueel ook andere formaliteiten vervullen bij de bevoegde instanties (klacht indienen bij de politie ). Onze experts kunnen u advies geven over de te volgen stappen. 6 7
ING geeft u deze brochure louter ter informatie. Deze heeft geen enkele contractuele waarde. ING kan dus in geen geval aansprakelijk gesteld worden op basis van deze brochure. Ook niet als uw bedrijf, ondanks deze aanbevelingen, het slachtoffer wordt van een van de fraudegevallen beschreven op deze brochure. ING België nv Bank/Kredietgever Marnixlaan 24, B-1000 Brussel RPR Brussel Btw: BE 0403.200.393 BIC: BBRUBEBB IBAN: BE45 3109 1560 2789. Verantwoordelijke uitgever: Inge Ampe Sint-Michielswarande 60, B-1040 Brussel Editing Team & Graphic Studio Marketing ING Belgium 709722N 07/15.