Wat is zakelijke identiteitsfraude?

Identiteitsfraude is een misdrijf waarbij de ene persoon de persoonlijke gegevens van iemand anders gebruikt, zonder toestemming, om iemand anders te misleiden of te bedriegen. In de private context worden persoonlijke gegevens van iemand gebruikt om een bankrekening te openen, huurcontracten af te sluiten of internet bestelling te plaatsen.

Internationaal opererende bendes viseren nu ook ondernemingen. Iemand doet zich voor als een werknemer van een bepaald bedrijf. Door een valse identiteit te gebruiken probeert de aanvaller iemand binnen een bedrijf te misleiden om gelden over te schrijven of goederen te leveren.  Dit is zakelijke identeitsfraude. Tot nog toe werd vooral de CEO’s identiteit (CEO-fraude) gestolen maar ook andere bedrijfsprofielen, zoals die van de aankoper zijn interessant voor de fraudeur. Uw bedrijf kan grote financiële verliezen lijden want vaak wordt de fraude pas ontdekt als het te laat is. Wanneer er niet snel gereageerd wordt is het bijna onmogelijk de overgeschreven geldsommen of de geleverde goederen te recupereren. Enkel door samen te werken kan deze fraudevorm aangepakt worden!

2 technieken om iemands identiteit over te nemen

Social Engineering

Fraudeurs voeren een online onderzoek om zoveel mogelijk informatie te verzamelen over een bedrijf en zijn werknemers (bijvoorbeeld op LinkedIn, Google, Facebook, de bedrijfswebsite, enz.). Met de informatie die ze verzameld hebben zijn ze in staat om een valse identiteit de creëren die gelijkaardig is aan de rechtmatige identiteit. Een tweede stap bestaat erin een gelijkaardige domeinnaam met gelijkaardige e-mailadressen te registreren. Als de inzet hoog is kunnen ze zelfs een nieuwe bedrijfswebsite en LinkedIn profiel maken om de valse identiteit nog overtuigender te maken.

Business E-mail Compromise

Fraudeurs gebruiken hacking technieken om toegang te krijgen tot een legitiem e-mail account van het bedrijf. Dit kan malware, phishing campagnes of misbruik van software kwetsbaarheden omvatten. Vanuit de gehackte account kunnen ze interne bedrijfsinformatie verzamelen en dit gebruiken om e-mails naar andere partijen te sturen voor een frauduleus plan.

3 Types Geviseerde Doelwitten

Meestal zal de fraudeur de identiteit stelen van bepaalde types werknemers

Hooggeplaatste Werknemer

CEO fraude

De meest voorkomende oplichtingen zijn diegene waarbij de fraudeur zich voorstelt als CEO, aandeelhouder of financieel adviseur en dwingend verzoekt aan iemand van de financiële afdeling om een nep-overschrijving uit te voeren. Valse e-mails en telefonische contacten moeten het verhaal geloofwaardig maken. De fraudeur roemt de volgende eigenschappen van zijn slachtoffer: loyaliteit, discretie en snelheid.

Bedrijfsaankoper

Nep bestelling: 3 slachtoffers

Bij deze oplichting wordt de identiteit van een aankoper van een welbekend bedrijf misbruikt om valse bestellingen te plaatsen. De fraudeur viseert met dit vals profiel de verkoopsafdeling van een -al dan niet reeds bestaande- leverancier. De goederen die geleverd worden aan deze ”grote klant” worden nooit betaald. Het welbekende bedrijf blijkt, na onderzoek, niet op de hoogte van de valse bestelling en zal uiteraard weigeren te betalen. Ook het transportbedrijf die de goederen heeft geleverd of opgeslagen zal ook nooit worden betaald.

Leverancier

Leveringsfraude/factuurfraude

Deze variant is gericht op bedrijven die werken met (buitenlandse) leveranciers. De fraudeur probeert de aankoop- , boekhoud of crediteurenafdeling te overtuigen om het verschuldigde bedrag (openstaande factuur) over te schrijven  naar een nieuw bankrekeningnummer. Soms wordt ook gemeld dat de leverancier voortaan werkt met een factoring maatschappij uit het buitenland. Vervalste contracten worden dan meegestuurd ter onderbouwing van het verhaal. 

Deze video legt uit hoe de oplichting via een valse bestelling wordt uitgevoerd.


4 Manieren Waarop i-Force Kan Helpen

Centrale hub om bewezen valse domeinnamen te verifiëren en melden

ID Fraud Check biedt bedrijven een betrouwbaar en gebruiksvriendelijk rapporterings- en raadplegingsmechanisme aan en is er door en voor haar partners. Hoe meer bedrijven frauduleuze pogingen melden hoe meer andere bedrijven gewaarschuwd kunnen worden. i-Force medewerkers analyseren de gegevens en trachten de trends te identificeren (veelgebruikte domeinnamen of leveringsadressen). Het platform fungeert tevens als een vroegtijdig waarschuwingssysteem voor haar partners.

Gebaseerd op haar ervaring kan i-Force u helpen om de zaak te beheren

Uw identiteit werd misbruikt

  • ► Rapportering aan de Raad van bestuur en/of het directiecomité over het incident, reeds ondernomen stappen en verdere acties
  • ► Communicatie met uw stakeholders (leveranciers, klanten, …)
  • ► Blokkering van alle bewezen valse domeinnamen
  • ► Documentatie en vervollediging van informatie m.b.t. het fraudegeval met het oog op het indienen van een klacht en het ondersteunen van verdere gerechtelijke actie
  • ► Waarschuwing van andere frauduleuze varianten op uw domeinnaam



U bent een slachtoffer

  • ► Door snel de volgende schakel in de transportketen te waarschuwen kunnen de goederen gelokaliseerd en gerecupereerd worden.
  • ► Voorkom verder verlies door contact op te nemen met de bank om de rekeningen te bevriezen
  • ► Documentatie en vervollediging van informatie m.b.t. het fraudegeval met het oog op het indienen van een klacht en het ondersteunen van verdere gerechtelijke actie
  • ► Digital Forensics om geïnfecteerde gegevensdragers te onderzoeken en nodige veiligheidsmaatregelen te nemen
  • ► Check naar mogelijke interne collusie
  • ► Rapportering aan de Raad van bestuur en/of het directiecomité over het incident, reeds ondernomen stappen en verdere acties

We hebben een gerichte bewustmakingstraining ontwikkeld voor uw personeel dat geviseerd kan worden voor deze fraudevorm (Boekhoud-, aankoop, crediteuren -en verkoopafdeling, …) , waarbij de focus wordt gelegd op:

  • ► praktische richtlijnen
  • ► knipperlichten
  • ► basisprincipes over cyber-en e-mail veiligheid
  • ► specifieke interne controle maatregelen
  • We kunnen ook op regelmatige basis phishing simulatieoefeningen uitvoeren

i-Force Digital Security Scan

Wanneer een e-mailaccount van een bedrijf werd ‘gehacked’ kan i-Force u adviseren omtrent onmiddellijk te ondernemen stappen en u helpen om dergelijke incidenten in de toekomst te voorkomen.

Onmiddellijke actie

► De controle over een gecompromitteerde account recupereren
► De resterende malware van de systemen verwijderen
► De impact van het incident beoordelen: zijn andere accounts getroffen? Heeft de infiltrant andere (interne) systemen bereikt?

Verbetering van beveiligingsniveau

Gedetailleerde ‘Security Assessment’ om zwakke plekken in verdediging bedrijf te identificeren en vermindering van risico op cyber-incidenten in de toekomst

5 Troeven die i-Force op Tafel Legt

Vroegtijdige waarschuwingen

i-Force waarschuwt haar partners telkens wanneer een melder laat weten dat een variant op een domeinnaam van de partner wordt gebruikt om valse bestellingen te plaatsen.

Hierdoor kan deze domeinnaam zo snel als mogelijk worden geblokkeerd en kunt u uw leveranciers van deze nieuwe variant op de hoogte brengen. Partners kunnen er ook voor opteren hun leveranciers te verwijzen naar deze website en hen zo sensibiliseren om nieuwe e-mail adressen te checken.

i-Force kan u helpen best practices te implementeren

  • ► Betere procedures om het risico van deze vormen van fraude te verminderen
  • ► Inzichten verlenen over rode vlaggen alsook de basis van cyber- en e-mailbeveiliging

Monitoring van frauduleuze betalingen

i-Force voert periodieke bankrekeninganalyses uit op het niveau van de betalingen. Via deze analyses zijn we in staat om verdachte transacties op te sporen. Tevens leggen deze proactieve analyses zwakke plekken bloot in de interne procedures zodat nieuwe regels dienen opgesteld om de interne controles te versterken.

Goederen die worden ontvreemd door een neporder worden bijna nooit rechtstreeks naar de fraudeur gestuurd. Opeenvolgende wisselende locaties moeten het opsporen bemoeilijken. Vaak belanden ze maar na meerdere tussenstappen in het buitenland waar ze uiteindelijk door de fraudeur worden opgehaald.

Maar daar ligt ook onze grootste kans!  Eenzelfde tijdelijk afleveradres wordt gebruikt voor andere soortgelijke bedrieglijke zendingen.  Het werkt als een knooppuntenroute.

Bij het traceren en monitoren van goederen streven wij ernaar de verschillende knooppunten in de transportketen tijdig te waarschuwen, zodat de zendingen kunnen worden stopgezet voordat ze doorgegeven worden. Het kan echter alleen succesvol zijn als snel gehandeld wordt. Hoe meer links we kunnen waarschuwen in de ketting, hoe meer frauduleuze zendingen we kunnen identificeren. Dit zorgt ervoor dat we ook slachtoffers die zich nog niet bewust zijn van de oplichting kunnen waarschuwen.

Als onafhankelijk Belgisch fraude audit kantoor met meer dan 15 jaar ervaring in de bestrijding van bedrijfsfraude, hebben we reeds meer dan 1.300 fraudezaken behandeld voor onze klanten uit zowel de private als de publieke sector.

We beschikken over een multidisciplinair team van fraude auditoren, forensic technology specialisten en criminologen. Tevens coördineren we een pool van gelicentieerde prive-detectives.

Door gevallen van (pogingen tot) identiteitsfraude aan i-Force te melden, breidt ons netwerk van betrokken bedrijven uit en creëren we een grotere mogelijkheid om meer potentiële slachtoffers tijdig te waarschuwen.


Maak deel uit van onze netwerk.
Samen kunnen we deze fraude een halt toe roepen.

Teneinde een maximale effectiviteit en efficiëntie te bereiken, kunnen we tevens terugvallen op een uitgebreid netwerk van private detectives, Europese fraude audit kantoren en verstrekkers van gespecialiseerde veiligheidsapparatuur.