Een kluisrekening bestaat niet! Zo beschermt u zich tegen fraude
Niet alleen particulieren, ook ondernemers zijn het mikpunt van cyberfraude. Febelfin waarschuwt voor criminelen die zich uitgeven als bankmedewerkers. Via een geraffineerde vorm van oplichting proberen ze grote sommen geld van zakelijke rekeningen te stelen.
Het aantal zelfstandigen en kmo’s dat het slachtoffer wordt van kluisrekeningfraude neemt in ons land sterk toe, waarschuwt Febelfin, de federatie van de Belgische banksector, al beschikt de organisatie niet over exacte cijfers. Kluisrekeningfraude gebeurt doorgaans in een of twee stappen. Eerst krijgt een bedrijf een phishingbericht van een afzender die op het eerste gezicht betrouwbaar lijkt – zoals een sociaal secretariaat, een bank of een telecomoperator. In dat bericht staat een link naar een website. Een kort moment van onachtzaamheid, en de bestemmeling klikt door. De website waarop hij dan terechtkomt, ziet er goed uit en lijkt soms als twee druppels water op de officiële website van de vermeende afzender. “Oplichters gebruiken die website om persoonlijke informatie over het slachtoffer te verzamelen, zoals contactgegevens en soms zelfs aanmeldcodes voor internetbankieren”, zegt Febelfin-woordvoerder Isabelle Marchand.
In een tweede fase krijgt de gedupeerde een telefoontje van de fraudeur, die zich voordoet als een bankmedewerker. Hij waarschuwt hem of haar voor verdachte transacties die hebben plaatsgevonden op de rekening van de onderneming. Met de informatie die de fraudeur tijdens de eerste fase of phishing expidition heeft verkregen, kan hij bijvoorbeeld verwijzen naar het rekeningsaldo of recente transacties. “Door die informatie kan de oplichter het vertrouwen van de gedupeerde winnen”, weet Isabelle Marchand. “Zo kan die medewerkers overtuigen om zijn uiteindelijke doel te bereiken: een grote som geld overmaken naar een zogezegd veilige kluisrekening.”
‘Elk bedrijf, groot en klein loopt de kans om ooit gehackt te worden’
Patrick Hauspie, VLAIO
Onachtzaamheid
Uiteraard bestaat die kluisrekening helemaal niet. Zodra het slachtoffer de transactie uitvoert, is het geld voorgoed verdwenen. “De fraudeurs gebruiken vaak rekeningen van geldezels om hun buit snel door te sluizen”, weet Jeroen Fiers, beleidsadviseur digitalisering bij het Vlaams Agentschap voor Innoveren en Ondernemen (VLAIO), dat samen met partners Vlaamse kmo’s ondersteunt die hun cyberveiligheid willen verbeteren.
“Het gebeurt ook dat criminelen de eerste stap overslaan en onmiddellijk naar het slachtoffer bellen, om die ertoe te overhalen geld over te schrijven naar een kluisrekening of een overschrijving te bevestigen. Uiteraard zal een bank je nooit vragen persoonlijke bankcodes door te geven om geld over te schrijven naar een andere rekening, of software te installeren om je op afstand te helpen – noch via telefoon, e-mail, sms of sociale media.”
“Elk bedrijf, groot en klein, loopt de kans ooit gehackt te worden, zeker via phishingtechnieken die proberen in te spelen op de verstrooidheid of de onachtzaamheid van mensen”, benadrukt Patrick Hauspie, programma-adviseur AI & cybersecurity bij VLAIO. Het is belangrijk een aantal technische maatregelen te nemen tegen cyberfraude zoals back-ups, 2-factor authenticatie, updates en firewalls. Maar vaak is de mens de zwakste schakel. Criminelen hebben het via kluisrekeningfraude en andere phishingtechnieken dan ook vaak gemunt op de medewerkers van bedrijven.
Trainingen en simulaties
“Slimme softwaretools volstaan niet om een sterk cybersecuritybeleid te voeren. Iederéén in het bedrijf moet waakzaam zijn voor pogingen tot hacking”, benadrukt Jeroen Fiers. Het is zaak de alertheid van medewerkers voor frauduleuze mails aan te scherpen via trainingen, campagnes en phishingsimulaties. Ook duidelijke afspraken zijn nodig, zoals richtlijnen over waar, hoe en wanneer medewerkers laptops, tablets en smartphones van het bedrijf mogen en kunnen gebruiken. Of wie er toegang krijgt tot welke software en paswoorden.
“Vaak weten ondernemingen niet honderd procent waar al hun informatie staat, wie er toegang toe heeft, over welke informatie ze beschikken of wat bepaalde toestellen en systemen allemaal kunnen”, weet Patrick Hauspie. Ook een draaiboek met duidelijke procedures voor wanneer het misloopt is onmisbaar. Wie doet wat? Wie moet gecontacteerd worden? Hoe kan de impact worden beperkt? “Door al die zaken vooraf vast te leggen, kun je na een hack of geslaagde phishingaanval vaak erger voorkomen”, legt Fiers uit.
‘Bedrijven kunnen met een cyberverzekering hun onveiligheidsgevoel niet afkopen: hacking voorkomen is nog altijd beter dan genezen’
Jeroen Fiers, VLAIO
Buurtwacht tegen cybersecurity
Ondernemingen kunnen zich verzekeren tegen de schade van cyberaanvallen. Ook in ons land bieden een aantal verzekeraars zulke polissen aan. Een cyberverzekering voorziet in de uitbetaling van schadevergoedingen na specifieke gevallen van hacking. Denk aan: een computervirus dat een productielijn lamlegt, een medewerker die argeloos een besmette link aanklikt waarna documenten onleesbaar worden, of een systeemcrash die data vernietigt. “Bedrijven kunnen met een cyberverzekering hun verantwoordelijkheid en hun onveiligheidsgevoel niet afkopen. Hacking voorkomen is nog altijd beter dan genezen”, benadrukt Jeroen Fiers.
Om een cyberverzekering te kunnen afsluiten zal de verzekeringssector de komende jaren van bedrijven nog meer eisen dat ze voldoen aan basisvereisten inzake cyberveiligheid. “Ondernemingen zouden op het gebied van cybersecurity ook nauwer kunnen samenwerken”, besluit Patrick Hauspie. “Komen ze in contact met criminelen die hen tot kluisrekeningfraude proberen te overhalen, dan kunnen ze dat misschien melden aan andere bedrijven, via een soort buurtwacht voor cybersecurity.” Dat wordt vandaag al voor een stuk ingevuld door de acties van het Centrum voor Cybersecurity België via de mailbox en homepagina van Safeonweb. z
Vijf tips tegen kluisrekeningfraude
1 Klik nooit op onbekende bijlagen en links. Navigeer uw muispijl zonder te klikken over de koppeling en controleer of het webadres, dat vaak zichtbaar is onderaan het e-mailprogramma, overeenstemt met de tekst in de hyperlink. Een klikbare link van economie.fgov.be waarbij de link leest als htttp://qs897.it/client952 is zeer verdacht.
2 Geef nooit persoonlijke informatie of bankcodes van de onderneming (rekeningnummer, pincode of responsecode) door via e-mail, sms, telefoon of sociale media. De bank zal u daar nooit om verzoeken.
3 Evenmin zal de bank adviseren om het geld van de onderneming over te maken naar een rekening van een andere partij. Een veilige ‘kluisrekening’ bestaat niet.
4 Ook zal de bank nooit vragen om software (Anydesk, Teamviewer) te installeren om op afstand de computer over te nemen.
5 Ontvangt u een twijfelachtig bericht of een vreemde oproep, en stelt u de echtheid in vraag? Neem dan het zekere voor het onzekere en ga er niet op in. Wilt u meer info? Bel zelf naar de bank. Oplichters kunnen die oproep niet onderscheppen. Stuur het bericht ook door naar verdacht@safeonweb.be.
Fout opgemerkt of meer nieuws? Meld het hier