Vorige week werd gewaarschuwd voor bedrijfsfraude in verband met corona. Een van de slachtoffers is webwinkel Wehkamp en de curatoren van modewinkelketen Didi. Cybercriminelen hebben 144.000 euro buitgemaakt.
Didi failliet
Wehkamp verkocht sinds 2012 kleding van modehuis Didi. Afgelopen januari ging Didi failliet. In de uitverkoop na het faillissement bleef Wehkamp de kleding van het merk verkopen. De opbrengsten werden overgeschreven naar de rekening van de failliete boedel, die wordt beheerd door curatoren Marc le Belle en Tineke Wolfswinkel.
Nep emailaccounts
Tussen 10 en 25 februari verschaften hackers zich toegang tot het emailverkeer van Wehkamp. Zij kwamen erachter dat de webshop geregeld bedragen overmaakte aan de curatoren. Vervolgens maakten de hackers mail-accounts aan die sterk leken op die van Wehkamp en de curatoren. Daarmee namen ze de communicatie tussen beide partijen over. Terwijl Wehkamp en de curatoren dachten dat ze elkaar rechtstreeks berichten stuurden, zat er in werkelijkheid een criminele partij tussen.
Ander rekeningnummer
De oplichters gaven vervolgens een ander bankrekeningnummer aan Wehkamp door, waarop het geld moest worden overgemaakt. Wehkamp verifieerde dat, maar gebruikte daarbij het frauduleuze emailadres van de criminelen. Die bevestigden uiteraard dat de wijziging klopte, terwijl de curatoren van niets wisten. Vervolgens maakte Wehkamp enkele dagen achter elkaar geld over op de ING-rekening van de hacker, voor een totaalbedrag van 144.000 euro. Toen dit werd ontdekt was vrijwel het hele bedrag al doorgesluisd, bevestigt curator Le Belle aan RTL Z.
Aangifte
De curatoren willen het geld alsnog ontvangen van de webwinkel. Onderzoek zou hebben uitgewezen dat er niet in de mailbox van de curatoren is ingebroken. Volgens de curatoren van Didi had Wehkamp deugdelijker moeten onderzoeken of het gewijzigde rekeningnummer klopte, mede omdat de mail van de hackers redelijk amateuristisch was. Wehkamp vindt de curatoren op zijn minst mede-verantwoordelijk voor de schade, omdat ook zij niet doorhadden dat er werd gecommuniceerd met hackers. De curatoren zijn inmiddels naar de rechter gestapt. Wehkamp heeft aangifte gedaan van de oplichting, en de recherche in Zwolle heeft de zaak in onderzoek.
Fouten maken is menselijk
Volgens Yeelen Knegtering, ceo softwarebedrijf Klippa, is het niet vreemd dat dit soort fraudes juist in coronatijd de kop op steken. ‘Financiële administraties vallen juist in deze tijd voor dit soort capriolen, omdat werknemers noodgedwongen thuis moeten werken, daardoor in minder direct contact met hun collega’s staan en ze druk voelen om snel betalingen te doen. Allemaal factoren die leiden tot het maken van fouten.’ Knegtering pleit ervoor om het betaalproces nog verder te automatiseren. ‘Met software kunnen bepaalde autorisatiestromen beter worden gecoördineerd en afgedwongen’, zegt hij. ‘Zo is het mogelijk om van te voren te bepalen wie voor welke bedragen goedkeuring moet geven. Omdat vaak meerdere mensen hun persoonlijke goedkeuring moeten geven, worden foute betalingen sneller opgemerkt.’ In het geval van Wehkamp draaide het om een ander rekeningnummer. Dan moeten natuurlijk alle alarmbellen afgaan. Bij de webshop gebeurde dat ook, maar de reactie was verkeerd. Er werd een verificatiemail gestuurd naar het valse emailadres. Knegtering: ‘Maar men had een tweede verificatie moeten inbouwen, bijvoorbeeld dat iemand anders naar de curatoren van Didi hadden moeten bellen. De software had de betaling vervolgens pas uitgevoerd als die stap had plaatsgevonden.’ Tegen vervalste emailadressen kan software echter niet veel uitrichten. Het checken en dubbelchecken of je wel naar het goede adres mailt, blijft mensenwerk.
Lees ook: Overheid en bedrijven waarschuwen voor CEO-fraude in coronatijd
Geef een reactie