Een kluisrekening bestaat niet! Zo beschermt u zich tegen fraude

Niet alleen particulieren, ook ondernemers zijn het mikpunt van cyberfraude. Febelfin waarschuwt voor criminelen die zich uitgeven als bankmedewerkers. Via een geraffineerde vorm van oplichting proberen ze grote sommen geld van zakelijke rekeningen te stelen.

Het aantal zelfstandigen en kmo’s dat het slachtoffer wordt van kluisrekeningfraude neemt in ons land sterk toe, waarschuwt Febelfin, de federatie van de Belgische banksector, al beschikt de organisatie niet over exacte cijfers. Kluisrekeningfraude gebeurt doorgaans in een of twee stappen. Eerst krijgt een bedrijf een phishingbericht van een afzender die op het eerste gezicht betrouwbaar lijkt – zoals een sociaal secretariaat, een bank of een telecomoperator. In dat bericht staat een link naar een website. Een kort moment van onachtzaamheid, en de bestemmeling klikt door. De website waarop hij dan terechtkomt, ziet er goed uit en lijkt soms als twee druppels water op de officiële website van de vermeende afzender. “Oplichters gebruiken die website om persoonlijke informatie over het slachtoffer te verzamelen, zoals contactgegevens en soms zelfs aanmeldcodes voor internetbankieren”, zegt Febelfin-woordvoerder Isabelle Marchand.

In een tweede fase krijgt de gedupeerde een telefoontje van de fraudeur, die zich voordoet als een bankmedewerker. Hij waarschuwt hem of haar voor verdachte transacties die hebben plaatsgevonden op de rekening van de onderneming. Met de informatie die de fraudeur tijdens de eerste fase of phishing expidition heeft verkregen, kan hij bijvoorbeeld verwijzen naar het rekeningsaldo of recente transacties. “Door die informatie kan de oplichter het vertrouwen van de gedupeerde winnen”, weet Isabelle Marchand. “Zo kan die medewerkers overtuigen om zijn uiteindelijke doel te bereiken: een grote som geld overmaken naar een zogezegd veilige kluisrekening.”

Onachtzaamheid

Uiteraard bestaat die kluisrekening helemaal niet. Zodra het slachtoffer de transactie uitvoert, is het geld voorgoed verdwenen. “De fraudeurs gebruiken vaak rekeningen van geldezels om hun buit snel door te sluizen”, weet Jeroen Fiers, beleidsadviseur digitalisering bij het Vlaams Agentschap voor Innoveren en Ondernemen (VLAIO), dat samen met partners Vlaamse kmo’s ondersteunt die hun cyberveiligheid willen verbeteren.

“Het gebeurt ook dat criminelen de eerste stap overslaan en onmiddellijk naar het slachtoffer bellen, om die ertoe te overhalen geld over te schrijven naar een kluisrekening of een overschrijving te bevestigen. Uiteraard zal een bank je nooit vragen persoonlijke bankcodes door te geven om geld over te schrijven naar een andere rekening, of software te installeren om je op afstand te helpen – noch via telefoon, e-mail, sms of sociale media.”

“Elk bedrijf, groot en klein, loopt de kans ooit gehackt te worden, zeker via phishingtechnieken die proberen in te spelen op de verstrooidheid of de onachtzaamheid van mensen”, benadrukt Patrick Hauspie, programma-adviseur AI & cybersecurity bij VLAIO. Het is belangrijk een aantal technische maatregelen te nemen tegen cyberfraude zoals back-ups, 2-factor authenticatie, updates en firewalls. Maar vaak is de mens de zwakste schakel. Criminelen hebben het via kluisrekeningfraude en andere phishingtechnieken dan ook vaak gemunt op de medewerkers van bedrijven.

Trainingen en simulaties

“Slimme softwaretools volstaan niet om een sterk cybersecuritybeleid te voeren. Iederéén in het bedrijf moet waakzaam zijn voor pogingen tot hacking”, benadrukt Jeroen Fiers. Het is zaak de alertheid van medewerkers voor frauduleuze mails aan te scherpen via trainingen, campagnes en phishingsimulaties. Ook duidelijke afspraken zijn nodig, zoals richtlijnen over waar, hoe en wanneer medewerkers laptops, tablets en smartphones van het bedrijf mogen en kunnen gebruiken. Of wie er toegang krijgt tot welke software en paswoorden.

“Vaak weten ondernemingen niet honderd procent waar al hun informatie staat, wie er toegang toe heeft, over welke informatie ze beschikken of wat bepaalde toestellen en systemen allemaal kunnen”, weet Patrick Hauspie. Ook een draaiboek met duidelijke procedures voor wanneer het misloopt is onmisbaar. Wie doet wat? Wie moet gecontacteerd worden? Hoe kan de impact worden beperkt? “Door al die zaken vooraf vast te leggen, kun je na een hack of geslaagde phishingaanval vaak erger voorkomen”, legt Fiers uit.

Buurtwacht tegen cybersecurity

Ondernemingen kunnen zich verzekeren tegen de schade van cyberaanvallen. Ook in ons land bieden een aantal verzekeraars zulke polissen aan. Een cyberverzekering voorziet in de uitbetaling van schadevergoedingen na specifieke gevallen van hacking. Denk aan: een computervirus dat een productielijn lamlegt, een medewerker die argeloos een besmette link aanklikt waarna documenten onleesbaar worden, of een systeemcrash die data vernietigt. “Bedrijven kunnen met een cyberverzekering hun verantwoordelijkheid en hun onveiligheidsgevoel niet afkopen. Hacking voorkomen is nog altijd beter dan genezen”, benadrukt Jeroen Fiers.

Om een cyberverzekering te kunnen afsluiten zal de verzekeringssector de komende jaren van bedrijven nog meer eisen dat ze voldoen aan basisvereisten inzake cyberveiligheid. “Ondernemingen zouden op het gebied van cybersecurity ook nauwer kunnen samenwerken”, besluit Patrick Hauspie. “Komen ze in contact met criminelen die hen tot kluisrekeningfraude proberen te overhalen, dan kunnen ze dat misschien melden aan andere bedrijven, via een soort buurtwacht voor cybersecurity.” Dat wordt vandaag al voor een stuk ingevuld door de acties van het Centrum voor Cybersecurity België via de mailbox en homepagina van Safeonweb. z