Hans de Boer is financieel directeur van AVOS B.V., een succesvolle groothandel in sportartikelen. Vrijdagmiddag ontvangt hij een informeel mailtje van een mede-directielid, Denny Janssen: ‘Kunnen we eigenlijk vandaag nog geld overboeken naar het buitenland?’ ‘Tuurlijk kan dat’, mailt hij terug. Wat volgt is een schoolvoorbeeld van de Wet van Murphy. Alles wat fout kan gaan, zal fout gaan. De Boer beleeft een onrustig en angstig weekend. Eén vraag houdt hem uit zijn slaap: ‘Komt de € 40.000,-, overgeboekt aan cybercriminelen, terug?’

Meld fouten direct

Hans de Boer is het soort man dat de hand in eigen boezem zal steken als hij een fout maakt. ‘Je kwetsbaar opstellen is belangrijk. En niet denken: laat ik maar niets zeggen, want als mijn fout bekend wordt, is dat niet best voor mij. Dat is moeilijk, want je schaamt je.’ Hij is helder: de betaalprocedures van AVOS zitten goed in elkaar. Maar liefst vijf paar ogen gaan over één contract dat betaald moet worden: de jurist, een controller, de werknemer die het contract begeleidt, zijn leidinggevende en een directielid. De truc van deze fraude was dat de cybercriminelen het betaalproces direct op directieniveau op gang wisten te brengen, door zich als directielid voor te doen en grote tijdsdruk te genereren.

Check afzender factuur

De Boer: ‘Toen ik terugmailde, ‘Tuurlijk kan dat’, deed ik dat om bij mede-directielid Denny Janssen ter wille te zijn. Ik steek mijn handen in het vuur voor hem. En kennelijk had hij haast, en wilde hij nog vóór het weekeinde de zaak geregeld hebben.’ Hij mailde weer terug: ‘De onderliggende documenten krijg je nog, maar hier is alvast het bankrekeningnummer waar het geld naartoe moet, zou je de betaling willen regelen? In de afzenderregel van de mail had ik de naam ‘Denny Janssen’ zien staan, zonder mailadres. Als ik toen met mijn cursor op zijn naam was gaan staan, de details van de afzender had aangeklikt en het rare, niet kloppende mailadres had gezien, iets met @kantoor12377.eu, dan had er nu niets aan de hand geweest.’ De Boer neemt niemand van de financiële administratie iets kwalijk. ‘Deze betaling is aangemaakt op akkoord van de directie.’

Pure pech

De Boer laat de betaling klaarzetten in het banksysteem. Toch heeft hij er geen goed gevoel over. Hij besluit Denny Janssen te storen in een belangrijke vergadering. De Boer: ‘Het leek wel of de cybercriminelen wisten dat we in een stressvolle periode zaten.’ Denny Janssen luistert naar De Boer, en geeft toch zijn akkoord op de transactie. De Boer: ‘Achteraf bleek dat Denny dacht dat het over een heel andere deal ging, waar ook zo’n € 40.000,- mee gemoeid was en waarvan hij de onderliggende documenten óók nog moest krijgen. Stom toeval en dikke pech: typisch Murphy.'

ABN AMRO handelde snel

Als Denny Janssen uit de vergadering komt en samen met De Boer de details doorneemt, ontdekken ze dat het foute boel is. Ze schakelen ABN AMRO in, hun huisbankier. Daar wordt de zaak snel opgepakt. ‘Nog op vrijdag, voor het einde van de kantoortijden, is contact gelegd met de buitenlandse bank waar de € 40.000,- naar is overgemaakt.’ In het angstige weekend stuurt De Boer de cybercriminelen een reply op hun frauduleuze mailtjes. Hij doet of zijn neus bloedt en laat hen weten dat het niet is gelukt om de boeking op vrijdag te doen. Hij geeft aan dat ze het geld direct ná het weekend ontvangen. Hij hoopt daarmee te voorkomen dat de fraudeurs het geld al in het weekend wegsluizen. Maandag krijgt hij het verlossende telefoontje van de bank: het geld is teruggeboekt. De Boer: ‘Zó! De opluchting die ik tóen voelde, dat zal ik niet snel meer vergeten. Wat we écht kwijt waren, waren de kosten voor de overschrijving naar een buitenlandse rekening: € 30,-. Een kniesoor die daarop let.'

Stel je kwetsbaar op, wees open

Wat zijn de belangrijkste lessen en adviezen aan andere ondernemers? De Boer: ‘Hou je aan de procedures: geen documenten, dan ook niet betalen. Daar had ik me ook aan moeten houden: haast of niet. Dat neem ik mezelf kwalijk. Bij de geringste twijfel: neem contact op met degene die je om een betaling vraagt, het liefst per telefoon. En check het bankrekeningnummer. Heb je een slecht gevoel over een betaling? Neem dat dan serieus. Stel je kwetsbaar op en wees open. Wie zijn kop in het zand steekt, maakt de zaak alleen maar erger. Alleen als je snel en alert als een terriër reageert, ook als je zelf een fout gemaakt hebt, maak je een kans om schade te voorkomen. Internationaal betalingsverkeer is traag, dat geeft wat ruimte voor actie.’

'Stel je kwetsbaar op en wees open. Wie zijn kop in het zand steekt, maakt de zaak alleen maar erger.' —De Boer

Nieuwe fraudepoging direct aangegeven

Doordat De Boer intern veel over de factuurfraude met collega’s heeft gesproken, is bij AVOS een nieuwe poging tot factuurfraude gebokkeerd. In dit geval deden de cybercriminelen zich voor als AVOS-manager, die een collega-manager om een spoedbetaling vroeg. ‘Deze valse factuur is onmiddellijk in de prullenbak gegooid en aangemeld bij het Openbaar Ministerie en de afdeling digitale oplichting van de politie, die tevens de eerste fraudezaak behandelen.’  


De namen en bedrijfsnaam in dit interview zijn gefingeerd. De gebeurtenissen en feiten kloppen allemaal.