In 2019 publiceerde Audit Vlaanderen het rapport ‘Door goede organisatiebeheersing beter werken’. Hierin stelt het dat financiële processen onvoldoende beheerst zijn en bijgevolg tot fraude kunnen leiden. Sinds 2014 voert Audit Vlaanderen audits uit bij lokale besturen en stelde daarin voor 3,1 miljoen euro directe financiële schade ten gevolge van fraude vast. In deze tekst zoomen we in op betalingsfraude waar het bestuur of de instelling slachtoffer van is. Professionele fraudeurs vinden de weg naar particulieren, bedrijven en openbare besturen. In het bijzonder waar sprake is van gedecentraliseerd cashmanagement, is bijzondere waakzaamheid noodzakelijk. We willen graag sensibiliseren voor deze problematiek en oplossingen aanreiken.
Welke zijn de verschillende fraudegevallen die het meest voorkomen?
A. Factuurfraude wordt gedefinieerd als de verzending van een vervalste factuur. Op het eerste zicht zijn alle kenmerken van de factuur correct. Het rekeningnummer van de begunstigde en vaak zijn telefoonnummer of zelfs zijn e-mailadres, zijn echter opzettelijk gewijzigd. De partij die de factuur voldoet is zich van geen kwaad bewust aangezien de factuur van een bekende leverancier lijkt te komen, voor een bedrag dat overeenkomt met de verwachtingen van de klant, en zal leiden tot een foutieve betaling die de schuldenaar zal verplichten, zodra de verduistering is vastgesteld, dezelfde betaling opnieuw te doen op de juiste rekening.
B. Identiteitsdiefstal: deze fraude wordt gekenmerkt door een misleiding. Een persoon wordt in de veronderstelling gebracht dat hij een bevel van een superieur krijg om een betaling uit te voeren.
C. Phishing: dit is een techniek die door fraudeurs wordt gebruikt om gevoelige en persoonlijke informatie af te persen om identiteitsdiefstal te plegen. Phishing wordt mogelijk gemaakt door het feit dat de fraudeur zich, via een telefoontje of een nepwebsite, voordoet als een vertrouwd persoon die om persoonlijke of bedrijfsinformatie kan vragen zonder de aandacht van het slachtoffer te trekken.
D. Het overnemen van het volledige IT-platform van een instelling, of een deel daarvan, met het oog op het geven van a priori correcte betalingsopdrachten zonder dat de houders kunnen ingrijpen; dit kan heimelijk gebeuren, door het invoeren van de database van leveranciers om rekeningnummers te wijzigen, of door het nemen van volledige controle over de servers om betalingen te genereren die correct lijken te zijn.
E. Interne fraude is een specifiek fenomeen dat niet binnen het bereik van cybercriminaliteit valt, maar kan worden bestreden met behulp van de instrumenten die voor cybercriminaliteit zijn ontwikkeld.
Wie zit achter deze fraudegevallen?
- Traditionele hackers die zich richten op zowel het overwinnen van de veiligheidsbarrières die worden opgeworpen door degenen die zichzelf willen beschermen, als ongetwijfeld enkele voordelen die deze aanpak met zich meebrengt (informatie, ...)
- Georganiseerde criminele netwerken die zich vooral richten op geld door middel van cyberbetalingsfraude of door middel van chantage om in te stemmen met het "vrijgeven" van een heel systeem dat gegijzeld is.
- Minder vanzelfsprekend, maar bijna zeker, kunnen staatsagentschappen ingrijpen zoals de georganiseerde misdaad dat doet; volgens het Belgische Cybersecurity Centrum zijn er vandaag meer dan 10 agentschappen die op de lijst staan.
Het belang van fraude
Volgens recente studies, zoals de studie die BDO onlangs publiceerde en die toegankelijk is op haar website, is 80% van de bedrijven ten prooi gevallen aan een aanval. Een verlies van 100.000 euro kan als normaal worden beschouwd. Bovendien bleek tijdens verschillende presentaties in het land dat bijna 70 procent van de aanwezige bedrijven al op het Darknet stonden. Veelal voor niet-cruciale elementen. Dit toont wel het belang aan om zich als onderneming te beschermen.
Deze nieuwe vorm van criminaliteit is onvermijdelijk geworden en neemt verder toe. Elke onderneming en ook elke overheid zal hiermee geconfronteerd worden, of ze nu groot of klein zijn. Onlangs werd het OCMW van een kleine gemeente in Brabant het slachtoffer van het hacken van hun officiële brievenbus die valse verzoeken om uitvoering van betalingen opleverde, en een kleine gemeente in Henegouwen werd volledig aangevallen, maar gelukkig werd er in deze omstandigheid geen betaling uitgeschreven.
De reacties van de slachtoffers
Computerfraude is een taboe. Het betrokken bedrijf of de openbare instelling durft er vaak niet over te communiceren.
Men is bezorgd over het systematische karakter van de aanvallen of het vermogen van de hacker om de geïnstalleerde barrières te omzeilen. Vaak wil men de concurrentiepositie van de onderneming of de reputatie van de instelling niet schaden. Zelfs mislukte pogingen zal men niet gemakkelijk in de openbaarheid brengen.
Sommige initiatieven met betrekking tot een inventarisatie van de veerkracht van een entiteit worden soms vertraagd of zelfs ontmoedigd door divisies die zouden kunnen denken dat ze de schuld krijgen als er een technische of administratieve fout wordt ontdekt. Hierdoor worden fraudeurs alleen maar aangemoedigd.
Maatregelen die het betalingsrisico verhogen
- De volledige digitalisering van het betaalproces voor online transacties gaat gepaard met een volledige digitalisering van het betaalproces.
- Instant payment is een nieuw betalingsmiddel om een leverancier binnen 10 seconden te kunnen betalen en een betalingsbewijs te krijgen. Deze vorm van betaling geeft weinig tijd om een controle door de bank te laten uitvoeren en moet door een strenge procedure omkaderd worden.
Te treffen maatregelen
- Bepaal samen met uw bankier uw beveiligingsprofiel, om alle ongewenste internationale betalingen vooraf systematisch stop te zetten, of alle papieren overschrijvingen te kunnen blokkeren, enz.
- Check of uw antivirussoftware up-to-date is en herhaal dit elke 3 maanden.
- Stel een restrictief beleid op voor de toegang tot de leveranciersdatabank.
- Bepaal een strikt controlebeleid voor elke verandering van rekening van een reguliere aanbieder, en een registratiebeleid voor nieuwe aanbieders in de breedste zin van het woord, ook voor sociale diensten bij de verwerking van betalingen voor ontvangers van sociale bijstand.
- Laat een derde partij met de nodige ervaring uw hele betalingsproces analyseren voor zowel gecentraliseerde als gedecentraliseerde diensten.
- Maak in dezelfde geest een analyse van de weerstandscapaciteit van uw beveiligingsapparatuur, door middel van ethische hacking die alle bestaande gebreken kan opsporen, zelfs en vooral als uw IT-team u vertelt dat alles in orde is.
- Installeer een programma om betalingsbestanden te scannen voordat ze naar een bank worden gestuurd, zodat u eventuele valse facturen voor betaling en interne fraude kunt blokkeren, op voorwaarde dat u over een strikt toegangsbeheer beschikt voor de leveranciersdatabank.
- Zorg ervoor dat u verzekerd bent tegen cyberdiefstal op een hoogte die overeenkomt met de praktijken van uw entiteit en niet met de eisen van uw verzekeraar.
- Voer een speciale procedure in wanneer u een e-mail ontvangt van uw bank met het vermoeden van fraude. Te vaak bevestigt men alsnog na waarschuwingen van de bank een frauduleuze betaling.