De 6 signalen van een vals betaalverzoek

door | jul 28, 2020 | Zakelijk

Online criminelen worden gewiekster. Steeds vaker doen zij specifiek onderzoek naar uw organisatie en collega’s om met die informatie bijvoorbeeld betalingen los te krijgen. Gangbare tips om valse e-mails te herkennen werken dan ook niet altijd meer. Maar er zijn wel alarmsignalen. Ziet u zo’n alarmsignaal? Dan kan het geen kwaad om een controlestap uit te voeren. Lees deze zes tips om te voorkomen dat u wordt opgelicht.

De Belastingdienst waarschuwt weer voor valse betaalverzoeken. Criminelen doen zich dan voor als de fiscus en kopiëren de huisstijl, het taalgebruik en portals van de officiële organisatie om financials ervan te overtuigen dat het een legitiem betaalverzoek is. Een veelgebruikte truc is dat ze de urgentie verhogen met dreigende taal en dwangbevelen, in de hoop dat ontvangers genoeg tijdsdruk voelen om buiten de normale procedures om te gaan. De druk wordt zo opgevoerd, zogenaamd vanuit overheidsorganisaties als het Centraal Justitieel Incassobureau of de Belastingdienst.

Gangbare tips niet altijd doeltreffend

Wat online communicatie betreft, bestaat ‘té paranoïde’ bijna niet. Gangbare tips om een valse e-mail te herkennen (geen specifieke aanhef, vreemd taalgebruik of een vaag adres) werken goed. Maar de slimme crimineel kent deze tips ook en past zijn of haar strategie aan. Hij of zij onderzoekt dan welke eindverantwoordelijke het beste te benaderen is, bijvoorbeeld door LinkedIn te doorzoeken, zorgt dat het taalgebruik klopt met de stijl van de organisatie die de crimineel imiteert en maakt een nepsite aan die akelig veel lijkt op een echte, compleet met beveiligingscertificaat waardoor ontvangers ‘https’ en een slotje zien.

Beveiligd, maar niet betrouwbaar

Https betekent helaas niet automatisch dat de site betrouwbaar is. Het geeft alleen aan dat de communicatie tussen u en de website die u bezoekt beveiligd is. U kunt dan ook net zo goed zaken doen met een crimineel aan de andere kant via zo’n beveiligde verbinding. Beveiligd en betrouwbaar worden meestal in één adem genoemd, maar zijn twee verschillende dingen.

Cm: heeft de afgelopen jaren talloze voorbeelden gezien van valse betaalverzoeken die legitiem leken. Het is niet alleen aan ict om de organisatie te beschermen tegen kwaadaardige e-mails, want digitale aanvallers vinden manieren om beveiliging te omzeilen. Het is de taak van iedereen in de organisatie om alert te zijn op gevaarlijke e-mails. Het herkennen van een op maat gemaakte e-mail van een crimineel is een uitdaging, maar er zijn alarmbellen.

1. Een betaalverzoek per e-mail is al reden om kritisch te zijn

Veel bedrijven versturen facturen per e-mail en daarom zijn we gewend om te betalen als een factuur per e-mail binnenkomt. Breed afgevuurde betaalverzoeken van partijen die zich voordoen als bank of leverancier zijn in de regel makkelijker te herkennen dan een gerichte aanval. Bij zo’n breder in omloop zijnde mail klopt de aanhef sneller niet, wordt er verwezen naar een document dat online staat of is de e-mail verzonden via een vreemd of malafide e-mailadres, niet het adres dat u kent van andere communicatie met deze organisatie.

De meeste overheidsorganisaties sturen aanmaningen per post, via een berichtenbox, een andere portal, of zelfs een applicatie. Een e-mail met betaalverzoek van een overheidsorganisatie zou in de regel direct alarmbellen moeten doen rinkelen. Krijgt u een verzoek via e-mail van een officiële instantie, wees dan extra alert: volg de geijkte procedures en bel bij twijfel de desbetreffende organisatie (via uw eigen telefoongegevens) om toelichting.

2. Een dringend verzoek moet automatisch als verdacht worden aangemerkt

phishingUrgentie is hét middel dat wordt gebruikt om een financial ervan te overtuigen snel te betalen, ook al is dat niet volgens de gebruikelijke procedure. Een bericht dat een betaling subiet moet worden gedaan, gevolgd door een dreigement over de gevolgen van een te late betaling is een alarmbel. Er zou iets niet in de haak kunnen zijn. Natuurlijk kan een verzoek dringend zijn, maar overleg in zo’n geval altijd intern en neem telefonisch contact op met de crediteur via de telefoongegevens die intern bekend zijn.

3. Procedures beschermen de organisatie; hamer op het juiste proces

Een online crimineel heeft niets liever dan dat procedures gepasseerd worden. Deze regels zijn onder meer in het leven geroepen om valse betalingen te voorkomen. Er is maar weinig beter voor een digitale dief dan een bedrijfscultuur waar procedures met voeten getreden worden zodra het volgens iemand hoger in de organisatie nodig is. Een controller zal altijd willen doen wat het beste is voor de organisatie, dus sneller geneigd zijn om een betalingsprobleem meteen op te lossen. In een bedrijf waar procedures minder strak worden nageleefd, wordt geld eerder overgemaakt naar een crimineel in plaats van een dienstverlenende organisatie. Hamer dus op het belang van de regels, ook – of misschien wel: vooral – bij bestuursleden.

4. Controleer het rekeningnummer met eerdere facturen of online

Een dief gebruikt uiteraard altijd een betaalrekening die hij of zij beheert. Een ander rekeningnummer dan gebruikelijk is daarom reden om op te letten. Sommige fraudeurs zijn gewiekst genoeg om u eerst te berichten over een nieuw rekeningnummer in een e-mail die van de vertrouwde organisatie lijkt te komen, om een paar dagen later een dringend verzoek te sturen met een expliciete verwijzing naar het net gewijzigde rekeningnummer. Ook in zulke gevallen kan het geen kwaad om even na te bellen of de wijziging klopt. Het Russische adagium ‘vertrouw, maar verifieer’ is ook hier van toepassing. Onderzoek welk rekeningnummer het juiste is, controleer bijvoorbeeld deze lijst van het CJB en deze van de Belastingdienst. Betreft het een commerciële organisatie? Neem dan contact op met de afdeling debiteurenbeheer.

5. Deze e-mailonderwerpen zijn reden om op te letten

Let ook goed op de onderwerpregel van e-mails. Een aantal woorden zijn reden om op uw hoede te zijn voor een vals betaalverzoek. Ze kunnen natuurlijk legitiem zijn, maar het is hoe dan ook verstandig om een extra controlestap te zetten als het gaat om de volgende zaken:

  • Verkeersovertredingen en boetes;
  • overige dringende vorderingen;
  • gemiste berichten of pakketten;
  • veroorzaakte schade;
  • nieuw rekeningnummer of nieuwe betaalmethode;
  • nieuwe betaalpas.

6. Bij twijfel: maak altijd een melding van verdachte e-mails

Als u ook maar een beetje twijfelt aan de legitimiteit van de e-mail, doe dan altijd melding. Ict heeft liever 5 meldingen die vals alarm blijken dan dat er één doorheen glipt waar iemand in de organisatie intuint. Intern is er vaak een speciaal e-mailadres beschikbaar gemaakt om verdachte e-mails te melden en de meeste externe organisaties hebben een adres om een potentieel valse factuur te melden. De Belastingdienst heeft een vast e-mailadres om zulke fraudepogingen te melden (valse-email@belastingdienst.nl). Ook de fraudehelpdesk (valse-email@fraudehelpdesk.nl), is een goede plek om zo’n melding te doen.

Het kan voorkomen dat zo’n melding automatisch wordt geweerd, omdat mailsystemen malafide e-mails zoveel mogelijk proberen te filteren. Dat doet zo’n systeem door de inhoud te vergelijken met bekende valse e-mails, waarna deze wordt gefilterd bij andere ontvangers. Dat werkt alleen niet voor alle ontvangers, dus organisaties als het Centraal Justitieel Incassobureau en de Belastingdienst, vaak nagebootst door criminelen, hebben er veel aan als u de mail toch doorstuurt.

Dat kunt u doen door in plaats van de e-mail te sturen de belangrijkste gegevens, de internetheaders, ervan te verzenden. In Outlook 365 selecteert u daarvoor het bericht, klikt u op de drie puntjes rechtsboven en selecteert u Berichtdetails weergeven om de internetheaders weer te geven. In de Outlook-app opent u het bericht in een nieuw venster door te dubbelklikken, selecteert u Bestand en kiest u Eigenschappen, waarna de internetheaders worden weergegeven. Selecteer alles met Ctrl +A en plak de inhoud in een mailbericht met Ctrl +V om deze gegevens vervolgens te verzenden naar het adres voor valse e-mails.

Bron: CM: