Wat is factuurfraude?

Bij factuurfraude sturen cybercriminelen valse facturen in de hoop dat jij als ondernemer deze gaat betalen. Dit gebeurt op twee manieren. Ten eerste kunnen nepfacturen, uit naam van bekende en vertrouwde partijen zoals Ziggo, UPC, KPN en CJIB, massaal naar willekeurige e-mailadressen worden gestuurd. De ontvanger wordt dan gevraagd om de factuur te betalen. Het gaat hierbij vaak om relatief kleine bedragen. Deze nepfacturen worden vrij vaak betaald, ook al is de ontvanger helemaal geen klant bij de organisatie of het bedrijf, dankzij de bekendheid en betrouwbaarheid van de zogenaamde afzender. Een tweede manier waarop cybercriminelen factuurfraude plegen, is door het sturen van gepersonaliseerde nepfacturen. Een ondernemer krijgt dan een nepfactuur uit naam van een bestaande zakelijke klant waarmee vaker zaken wordt gedaan. In veel van deze gevallen wordt de factuur onderschept (fysiek of digitaal) en wordt enkel het rekeningnummer gewijzigd naar het rekeningnummer van de crimineel. De ondernemer betaalt dan de echte verzonden rekening, maar het geld wordt overgemaakt aan de cybercrimineel.

Direct doen (of laten):

  • Factuur- en CEO-fraude voorkomen

    Cybercriminelen worden steeds geraffineerder en professioneler als het gaat om het oplichten van het MKB. Gelukkig zijn er manieren om je bedrijf tegen cybercrime te beschermen. Het is vooral belangrijk om al je medewerkers te wijzen op de gevaren van cybercrime. En dan vooral de medewerkers op afdelingen waar betaalopdrachten worden verwerkt. Dit wordt nog belangrijker als je jouw bedrijf tegen CEO-fraude wilt beschermen; want hoe groter een organisatie, hoe groter de kans op deze fraudevorm aangezien medewerkers elkaar niet altijd persoonlijk kennen en niet altijd direct contact hebben met het hogere management. Maak het onderwerp fraude dus bespreekbaar binnen jouw bedrijf. Als jouw medewerkers twijfels durven te uiten, krijgt fraude minder kans. Let ook goed op hoeveel informatie je online vrijgeeft over jouw organisatie, zoals over managers en medewerkers. Deze informatie wordt door de cybercrimineel gebuikt om hun oplichtingspraktijken kracht bij te zetten.

    En geef jouw medewerkers deze tips:

    • Controleer het e-mailadres van de afzender van de opdracht of factuur, is dit werkelijk het e-mailadres van jouw eigen onderneming of zakelijke relatie?
    • Controleer altijd het rekeningnummer van de ontvanger met jouw eigen administratie
    • Verifieer de betaling door de (genoemde) opdrachtgever te bellen. Gebruik hiervoor het nummer dat bij jou bekend is en niet het nummer dat bij het betaalverzoek staat. Dat nummer kan immers van de oplichter zijn
    • Wees alert op smoesjes waarom een betaling urgent is en moet afwijken van normale procedures
    • Wees alert op telefoontjes met een dwingend karakter
    • Stel duidelijk richtlijnen op voor facturatie, met daarin beschreven wie een betaalopdracht mag uitvoeren als er geen goedgekeurde factuur is. Probeer uitzonderingen te vermijden en zorg dat er altijd meerdere handtekeningen moeten worden gezet bij een betaalopdracht (functiescheiding of dubbele autorisatie). Twee mensen zien namelijk altijd meer dan één
    • Overleg bij twijfel altijd met een collega of leidinggevende

    Weet je hoe je factuur- of CEO-fraude kunt voorkomen?

    Ja, dat weet ik
    Ja, dat heb ik gedaan print
    Open Sluit
  • Pogingen om factuur- en CEO-fraude te blokkeren

    Als je pogingen tot digitale factuur- en CEO-fraude ontdekt, kun je een paar dingen doen om te voorkomen dat de fraudeurs binnen jouw organisatie (of die van anderen) succesvol zijn:

    • Laat het valse domein direct blokkeren op jouw mailserver
    • Monitor jouw mailverkeer op valse domeinen
    • Stuur valse e-mail door naar de fraudeafdeling van de geïmiteerde organisatie

    Heb je de poging geblokkeerd?

    Ja, dat heb ik gedaan
    Ja, dat heb ik gedaan print
    Open Sluit
  • Een nepmail of telefoontje op het werk herkennen

    Hieronder wordt uitgelegd hoe je een nepmail (stap 1) en een neptelefoontje (stap 2) kunt herkennen.

    Stap 1: Een nepmail herkennen

    • Afzender
      Controleer het adres van de afzender. De naam van de afzender mag dan precies hetzelfde zijn als die van je bank of webwinkel, maar vaak is het gebruikte e-mailadres vaag of een afgeleide versie van een echte bedrijfsnaam of de naam van een instantie. Is het adres vaag of onduidelijk? Dan heb je waarschijnlijk met phishing te maken.
    • Aanhef
      Word je met hele algemene termen, zoals 'Geachte heer/mevrouw' of 'Beste klant', aangesproken, let dan op. Bedrijven en instanties waar je klant bent, gebruiken meestal in ieder geval je achternaam in een e-mail of weten of je een man of een vrouw bent.
    • Vragen naar persoonsgegevens
      In veel nepmails staat het verzoek om je persoonsgegevens 'te controleren', 'bij te werken' of 'aan te vullen'. Je moet dan op een link klikken om dit te doen. Doe dit nooit zomaar. Je bank, verzekeringsmaatschappij en overheidsinstanties vragen nooit op deze manier naar persoonsgegevens. Bel het bedrijf of de instantie liever eerst op om te controleren of ze de e-mail wel zelf hebben verstuurd. Gebruik hiervoor nooit de contactgegevens in de e-mail, maar zoek deze zelf op.
    • Taalgebruik en vormgeving
      De huidige generatie nepmails staan allang niet meer bol van de taal- en spelfouten. Ook de gebruikte logo’s en foto’s worden steeds professioneler. Lees en bekijk de e-mail goed om te zien of je toch geen onregelmatigheden tegenkomt. Je kunt ook een eerdere mail van een bedrijf of instantie ernaast leggen ter vergelijking.
    • Links
      Links in nepmails kunnen ervoor zorgen dat er schadelijke software op je computer wordt geïnstalleerd of dat je naar een valse website wordt geleid. Klik dus nooit zomaar op de links in e-een e-mail die je niet vertrouwt. Controleer het adres van de link door, zonder erop te klikken, de cursor van je muis op de link te zetten en te kijken welk adres er verschijnt.
    • Bijlage
      Een bijlage in een nepmail kan ervoor zorgen dat er schadelijke software op je computer wordt geïnstalleerd. Open dus nooit zomaar een bijlage van een e-mail die je niet vertrouwt. Een zip-bestand is altijd verdacht aangezien bijvoorbeeld facturen en aanmaningen nooit op deze manier worden verstuurd. Verwacht je toch een bestand? Neem dan contact op met de afzender om te vragen wat en hoe ze iets precies verstuurd hebben. Gebruik ook hiervoor nooit de contactgegevens in de e-mail, maar zoek deze zelf op.

    Stap 2: Een neptelefoontje herkennen

    • Doet iemand zich aan de telefoon voor als een medewerker van jouw bank of een bedrijf en vraagt hij om persoonlijke gegevens, zoals rekeningnummers en inloggegevens?
      Geef deze gegevens niet af. Kap het gesprek af en verbreek de verbinding. Check bij de bank of het bedrijf of ze je echt hebben gebeld (gebruik dan niet het telefoonnummer dat de beller je geeft, maar zoek het telefoonnummer zelf op).
    • Word je verteld dat je een prijs hebt gewonnen, je rekening geblokkeerd is of je instellingen voor internetbankieren niet goed staan?
      Blijf kritisch en laat je niet ompraten en intimideren. Geef niet zomaar persoonlijke gegevens af. Verbreek bij twijfel de verbinding en check bij de bank of het bedrijf of ze je echt hebben gebeld.
    • Word je gebeld door de klantenservice van je internetprovider, een softwarebedrijf of de fabrikant van de computer, tablet of smartphone om hard- of softwareproblemen op te lossen?
      Blijf kritisch. Geef nooit zomaar iemand op afstand toegang tot je apparaten en ga ook niet naar een website waar je software moet installeren om de problemen op te lossen. Verbreek bij twijfel de verbinding en check bij de internetprovider, het softwarebedrijf of de computerfabrikant of ze je echt hebben gebeld.

    Kun je een nepmail of telefoontje herkennen?

    Ja, dat kan ik
    Ja, dat heb ik gedaan print
    Open Sluit
  • Aangifte doen van factuur- en CEO-fraude

    Aangifte doen van het criminele feit (of feiten) bij de politie is van groot belang. De politie maakt een proces-verbaal op. De beslissing of daarna ook daadwerkelijk vervolging wordt ingesteld ligt bij het Openbaar Ministerie (OM). Aangifte doen van deze vorm van criminaliteit kan bij elk politiebureau. Meld de fraude ook bij jouw bank, zodat de banken deze de informatie kunnen gebruiken bij de monitoring en detectie van toekomstige pogingen tot fraude.

    Waarom is aangifte doen van belang?
    Succesvol onderzoek doen naar daders begint met informatie van aangiftes. Daarbij is het van belang dat gegevens die herleidbaar zijn tot de criminele feiten ongewijzigd worden toegevoegd aan de aangifte (bijvoorbeeld de valse factuur, al dan niet digitaal). De aangiftes geven inzicht in de wijze van handelen van de crimineel of organisatie van criminelen. Als elk benadeeld bedrijf aangifte doet wordt meer informatie verzameld en gecombineerd. Hoe meer informatie, hoe groter de kans dat op basis daarvan succesvol onderzoek kan worden gedaan naar de daders.

    Aangifte doen is ook van belang voor het herkennen van nieuwe vormen van factuurfraude. De informatie uit de aangifte kan leiden tot aanpassingen in beveiligingssoftware, antivirusprogramma’s en in updates van systemen. Dit maakt het voor alle MKB-bedrijven weer een stuk veiliger.

    Tot slot: de verzekeringsmaatschappij zal een kopie vragen van de aangifte (mits je verzekerd bent tegen cybercrime en je verzekeraar überhaupt iets van de schade vergoedt).

    Voorbereid aangifte doen!
    Vraag bij het maken van een afspraak om aangifte te doen altijd om de aanwezigheid van een digitaal rechercheur, dat helpt bij het formuleren van de aangifte en zorgt dat deze zo compleet mogelijk wordt opgenomen. Bij het opnemen van de aangifte zal om informatie worden gevraagd die gebaseerd is op de wettekst en dus op de elementen van het strafbare feit, zoals:

    • Betreft het een aangifte tegen een particulier of een bedrijf?
    • Zijn er beveiligingsmaatregelen genomen?
    • Wat is de geschatte schade (uren in geld, immateriële schade) en wat zijn de herstelkosten?
    • Is er al een verdachte bekend?

    Kijk op de pagina 'Aangifte of melding doen'* van Politie.nl voor meer informatie over hoe en waar je aangifte kunt doen. 

    Ten slotte; de bank zal dit type fraude niet vergoeden en de ontstane schade wordt doorgaans ook niet door jouw verzekeraar vergoed. Je hebt immers zelf de betaling uitgevoerd naar het rekeningnummer van de crimineel en deze ondertekend als zijnde correct. Het is daarom ook in jouw eigen belang om preventieve maatregelen te treffen en bij een geslaagde fraudepoging zo snel mogelijk actie te ondernemen.

    Meld een valse e-mail bij je bank:

     En stuur valse e-mail door naar:

    Ook andere organisaties gebruiken dit format:

    *Door op de link te klikken, word je naar de website in de link gestuurd. De link opent automatisch in een nieuw tabblad

    Heb je aangifte gedaan?

    Ja, dat heb ik gedaan
    Ja, dat heb ik gedaan print
    Open Sluit