Slachtoffer CEO-fraude: 'Hou je aan het vier-ogen principe'

Toen Johan besefte hoeveel geld er weg was, voorzag hij zwarte, niet onwaarschijnlijke scenario's van een abrupt afgebroken loopbaan en verhuizing naar een stacaravan. Al snel na de overboeking had Johan gedacht: 'Klopt dit eigenlijk wel?' Het zweet was hem aan alle kanten uitgebroken.

Johan Fransen, algemeen directeur van Taaltrainingen BV belde met de topman van de Engelse vestiging. 'Weet jij iets over een overname van een Chinees bedrijf?' ‘Nee, hoezo?' 'Om voor het Amerikaanse moederbedrijf de financiering van die overname mede mogelijk te maken, heb ik net twee keer € 200.000 overgemaakt. Dit overigens op verzoek van mijn Finance-afdeling, die daarvoor een autorisatie van een advocaat heeft ontvangen.'

Tussen de overboeking, op 17.20 uur en het telefoontje naar Engeland zit precies 1 uur en vijftig minuten, waarin hij ook overlegt met de financieel directeur. Nog eens een half uur later weet Johan 100 procent zeker dat het foute boel is. Als een soort pitbull bijt hij zich vast in de zaak.

Johan: 'Ik heb al het mogelijke gedaan om het geld weer terug te krijgen.' CEO-fraude is in Nederland een relatief nieuw fenomeen. In het buitenland bestaat het al langer. Oplichters doen zich voor als CEO van internationale ondernemingen, slim gebruikmakend van digitale speur- en fakemogelijkheden, om zó bedrijven te verleiden grote sommen geld over te boeken op hun rekening.

Het is gemakkelijk gezegd, en menig familielid en vriend van Johan heeft dat ook gedaan: 'Hoe kon je dit laten gebeuren? Dit kunnen ze op je verhalen.' Waarna ze in gedachten die zin vervolgden met: 'Mij was dit nóóit overkomen.' Schaamte bij Johan. En dat visioen van de stacaravan. Hij verwijt zichzelf nog steeds dat hij onvoorzichtig is geweest. 'Het is vooral mijn fout geweest.' Maar de fraudeurs zijn zéér geraffineerd bezig geweest, hebben zich grondig voorbereid en psychologisch doortrapt gebruik gemaakt van hiërarchische verhoudingen.

Johan: 'Aan het einde van de dag komt Adrie naar me toe. Ik werk al twintig jaar met hem, een uiterst betrouwbare werknemer op de afdeling Finance. Alle informatie die ik nodig had om de boeking te kunnen beoordelen, leek er te zijn. Steve Jefferson, sinds vier maanden directeur van het Amerikaanse moederbedrijf, had Adrie telefonisch dringend verzocht om snel vier ton over te maken voor de overname van een Chinees bedrijf. Drie dagen later zouden we dat geld weer terug krijgen. Dat Steve nieuw was, heeft een rol gespeeld: nieuwe bezems vegen schoon, je wilt graag meewerken.

Er speelde in die tijd ook een andere overname in Zweden, dus waarom niet ook eentje in China? Want daar had Steve het over gehad tijdens zijn bezoek aan de vestiging in Nederland, dat was plausibel. En snelheid en geheimhouding, waar de pseudo-Steve, want dat was hij, op aandrong bij Adrie, horen niet zelden bij overnameprocessen. In perfect Amerikaans legde hij Adrie uit dat hij ook onze financieel directeur, Karin de Jong, al over de zaak had gesproken. Slim van hem. Hij wist dat zij de deur uit was. Hij had haar nét daarvoor mobiel proberen te bellen en van de receptie gehoord dat ze weg was. Hij had zich laten doorverbinden met Adrie. In een dikke anderhalf uur hebben ze zeven keer telefonisch contact.

Steve leverde naam en mailadres van een advocaat, die per mail een mandaat afgaf voor de betaling, plus de betaalgegevens. Adrie had het advocatenkantoor, die de overname van het Chinese bedrijf begeleidde, op internet gevonden maar er helaas geen contact mee opgenomen. Toen hij op om tien over vijf naar me toe kwam, was hij ervan overtuigd dat ik er het beste aan deed om zo snel mogelijk het geld over te maken. Ik stond op het punt naar huis te gaan en heb die boekingen, Adrie had ze al voor me klaar gezet, even snel gedaan. Als ik tien minuten gewacht had, was ik zeker gaan twijfelen en éérst gaan verifiëren. Nu kwam dat gevoel te laat.'

Johans belangrijkste tip voor iedereen waar CEO-fraudeurs hun pijlen op zouden kunnen richten: 'Laat je niet imponeren door de status van hoge functies, blijf nuchter nadenken en check elementaire dingen: heb ik écht gesproken met de hoogste directeur? Doelwit zijn vaak internationale bedrijven, waar nét een nieuwe CEO is aangetreden. Dat checken van een identiteit kan in een korte tijdspanne: want dat is óók een vast ingrediënt van CEO-fraude, een zeer hoge tijdsdruk genereren. En hou je aan het vier-ogen principe: laat altijd twee mensen van het management een betaling fiatteren.'

Johan heeft geluk gehad: op 5 april werd het geld overgeboekt, en op 11 april was het weer terug. Het had ook héél anders kunnen lopen. Om kwart voor acht 's avonds, 5 april, krijgt Johan de eerste medewerker van de fraudedesk van ABN AMRO aan de lijn. Er wordt speciaal iemand op de zaak gezet: Michiel. Van hem krijgt Johan het gevoel dat hij alles doet wat mogelijk is. 'Ik kon hem in het weekeinde bellen. Ook als er geen ontwikkelingen waren, nam hij contact met me op. Michiel kon zich verplaatsen in de precaire situatie waarin ik terecht gekomen was en handelde daar ook naar.'

Voor de bank heeft Johan ook een tip: 'Laat klanten altijd weten waar ze naartoe moeten bellen wanneer ze het vermoeden hebben van fraude. Ook 's avonds laat. Fraudeurs houden zich namelijk niet aan openingstijden.'

Tekst: Joep Auwerda

Zelf cybermaatregelen treffen of fraude melden?

Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.

• Leer meer over de 4-in-1-cyberoplossing Cyber Veilig & Zeker en verlaag jouw cyberrisico's.
• Bekijk slimme tools, handige artikelen en cyberwebinars op onze Veilig ondernemen-pagina.
• Meld fraude bij ons, ook bij twijfel, waarna onze helpdesk je direct verder helpt.