Voor bedrijven die slachtoffer zijn van een van de vele vormen van fraude is er de Fraudehelpdesk Zakelijk. Met advies probeert zij ondernemers verder te helpen, maar zeker ook slachtoffers te voorkomen. Directeur-bestuurder Esther van der Ploeg vertelt. ‘Wij bieden mkb’ers en zzp’ers laagdrempelige ondersteuning bij cyberweerbaarheid en fraude.’
‘Via Whatsapp kreeg een ondernemer een bericht van een CEO van een Canadees bedrijf waar hij al acht jaar zaken mee deed. Het telefoonnummer was veranderd, maar de profielfoto was dezelfde. Het bericht ging over een geheim project, waar ook een Franse advocaat bij betrokken was. De ondernemer in kwestie had die Franse advocaat nog aan de telefoon gehad, het leek dus allemaal heel geloofwaardig. Uiteindelijk kreeg de ondernemer het verzoek om 47.000 euro over te maken op een Franse bankrekening en dat deed hij ook.’ Esther van der Ploeg, sinds 1 september op interim basis directeur-bestuurder van de Fraudehelpdesk, heeft niet veel moeite om voorbeelden van online fraude op te sommen. Het bovenstaande is een voorbeeld van zogeheten CEO-fraude. En iedereen voelt wel op zijn klompen aan hoe het verhaal afloopt. ‘Een dag later had de ondernemer contact met de CEO, op diens gebruikelijke telefoonnummer. Toen werd duidelijk dat deze ondernemer het slachtoffer was van scam, oplichterij. Hij nam contact op met zijn bank, deed aangifte, maar het was tevergeefs.’
Losgeld voor versleutelde bestanden
Helaas worden op deze manier duizenden bedrijven slachtoffer van de vele vormen van cybercrime, zoals phishing, DDos-aanvallen en ransomware. Ransomware, in het Nederlands ook wel gijzelsoftware genoemd, is een computervirus dat de computer of de bestanden erop kaapt en de data versleutelt zodat ze niet meer toegankelijk zijn. De criminelen proberen je vervolgens losgeld (‘ransom’) te laten betalen om weer toegang te kunnen krijgen tot de versleutelde bestanden. Dat heeft enorme gevolgen: je bedrijfsvoering wordt verstoord of platgelegd, en je hebt een datalek waarover je moet communiceren met de AP én met je klanten. Dat kan imagoschade betekenen en ook financieel kan het behoorlijk oplopen. Niet alleen het losgeld en de kosten om alles weer te herstellen en op te schonen, maar ook de misgelopen inkomsten. Van der Ploeg: ‘Laatst nog hoorde ik van een ondernemer die overstapte van het ene internetbeveiligingsbedrijf naar het andere. Kennelijk precies op het moment van overstap zagen criminelen kans zijn netwerk binnen te dringen en alle bestanden te versleutelen. De ondernemer had geen idee wat hij precies verkeerd had gedaan. Uit onderzoek bleek dat hij de enige in zijn organisatie was die iets had kunnen doen wat tot deze situatie had geleid. Hij was zich in elk geval nergens van bewust. Hoe dan ook, de cybercriminelen eisten 1,3 miljoen aan Bitcoin losgeld.’
Fraudehelpdesk Zakelijk
Van der Ploeg kan zo nog wel een tijd doorgaan met praktijkvoorbeelden noemen van ondernemers die ten prooi gevallen zijn aan cybercriminelen. Om al deze ondernemers en ook particulieren te helpen bestaat de Fraudehelpdesk. De Fraudehelpdesk Zakelijk is daarbij de zakelijke tak. ‘Die vormt het gratis eerste loket voor ondernemers met vragen over cyberveiligheid en fraude. Wij bieden mkb’ers en zzp’ers laagdrempelige ondersteuning bij cyberweerbaarheid en fraude. Denk daarbij aan een telefonische helpdesk, juridische ondersteuning en diverse tools. Verder onderzoeken we de mogelijkheid van ‘persoonlijke incident response’, waarbij ondernemers 24/7 meldingen kunnen doen. Je wilt immers meteen geholpen worden als je slachtoffer bent. Wij kunnen deze ondernemers vervolgens adviseren over wat ze moeten doen.’
Wees alert
Bij dat laatste staat de Fraudehelpdesk zeker niet alleen, zegt Van der Ploeg. ‘We werken graag samen met andere partijen, zoals de politie, regionale securitybedrijven, het Digital Trust Center en opleiders als Saxion. Daarbij willen wij fungeren als spin in het web. Ons netwerk, waarin overigens meer organisaties welkom zijn, helpt ons om dat ene loket te zijn om ondernemers te adviseren bij fraude. Bij dat advieswerk maken we ook gebruik van onze eigen onderzoeksdata.’ Ten slotte wil Van der Ploeg een beroep doen op de alertheid van alle Nederlandse ondernemers. ‘Denk niet dat je nooit slachtoffer wordt. Iedere ondernemer, hoe klein ook, is interessant voor cybercriminelen. Cyberweerbaarheid bestaat allereerst uit bewustwording dat het risico reëel is en dat de toekomst van je bedrijf op het spel staat. Risico’s zijn nooit helemaal uit te bannen, maar wel te beperken (zie kader, red.).’
Praktische tips: hoe kun je als organisatie de risico’s beperken?
⦁ Breng de risico’s voor jouw bedrijf in kaart: waar liggen de kwetsbaarheden? Welke afspraken zijn er gemaakt met de ICT-leverancier en wie doet wat in het geval van een dreiging?
⦁ Houd alle apparaten up-to-date met de nieuwste beveiligingsupdates en gebruik betrouwbare antivirussoftware. Zorg voor veilige instellingen van de internet- en netwerkverbindingen. Weet je zelf niet hoe dat moet? Schakel dan een specialist in.
⦁ Bescherm je e-mailadres en maildomein tegen spoofing en hacken: gebruik technieken als SPF, DKIM en DMARC. Weet je zelf niet hoe dat moet? Schakel dan een specialist in.
⦁ Gebruik voor alle accounts unieke en sterke wachtwoorden. Stel waar mogelijk multifactor-authenticatie in.
⦁ Train jezelf en je medewerkers om virussen op de computer te herkennen en terughoudend te zijn met het openen van e-mails, berichten van onbekende afzenders, bijlagen en links. Controleer het mail-/webadres van de afzender zorgvuldig.
⦁ Stel duidelijke procedures vast voor het doen van (grote) betalingen en wijk daar niet van af. Zorg bijvoorbeeld voor een vierogenprincipe, waarbij dus altijd twee personen een betaling moeten goedkeuren.
