De toename van fraude met geautoriseerde pushbetalingen (APP) is een grote zorg geworden voor bedrijven in het Verenigd Koninkrijk en daarbuiten. Volgens UK Finance Alleen al in 2022 werd meer dan 500 miljoen pond gestolen van bedrijven via APP-fraude'.
Sean Moriarty, CFO,
AccessPay
In ons recente webinar Hoe APP-fraude afweren: Verbeterde betalingscontroles bespreken met een CFO, wij sbij Sean Moriarty, de Chief Financial Officer van AccessPay, over APP-fraude, de verspreiding ervan en de effectieve maatregelen die bedrijven kunnen nemen om het te voorkomen.
Deze blog gaat dieper in op hun gesprek en belicht de belangrijkste punten en strategieën die werden besproken.Bekijk de volledige webinar on-demand
Wat is APP-fraude?
Geautoriseerde push-betalingsfraude verwijst naar een geraffineerd plan waarbij een fraudeur een bedrijf verleidt om vrijwillig geld te sturen naar een frauduleuze rekening. Bij dit bedrog doet de fraudeur zich vaak voor als een echte leverancier, werknemer of financiële instelling. Een van de meest verontrustende aspecten van deze vorm van fraude is dat de fraude plaatsvindt onder het mom van echtheid, waarbij gebruik wordt gemaakt van social engineering-tactieken en geavanceerde technologische hulpmiddelen om nietsvermoedende slachtoffers, meestal binnen het financiële team, te misleiden.
Waarom is APP-fraude zo wijdverbreid?
APP-fraude heeft aan bekendheid gewonnen door een combinatie van factoren. De financiële beloningen voor fraudeurs zijn aanlokkelijk, want zelfs een paar succesvolle pogingen kunnen leiden tot aanzienlijke winsten voor een individu. Bovendien heeft het digitale tijdperk fraudeurs ruimschoots voorzien van hulpmiddelen om hun plannen uit te voeren, zoals de mogelijkheid om e-mailaccounts te hacken, valse documenten te creëren en zelfs de communicatiestijlen van topmanagers na te bootsen. Omdat werken op afstand en elektronische communicatie de norm zijn geworden, nemen de mogelijkheden voor fraudeurs om deze zwakke plekken uit te buiten alleen maar toe.
Een echt voorbeeld van APP-fraude
Tijdens Seans loopbaan als CFO heeft hij veel voorbeelden van APP-fraude gezien.
Een van zijn collega's die contact heeft met CFO's benadrukte onlangs een schokkend voorbeeld waarbij een financieel team van een bedrijf direct het doelwit was en een aanzienlijk financieel verlies leed.
Het scenario: Ontdek een APP-fraudeplan met schermdeling
- Bedrijf: Anonieme
- Eerste contact: Het slachtoffer krijgt een telefoontje dat van Barclays afkomstig lijkt te zijn en melding maakt van verdachte rekeningactiviteiten en geblokkeerde uitgaande betalingen.
- Verzoek om geldoverschrijving: De beller overtuigt het slachtoffer om geld over te maken van een betaalrekening naar de rekening van het bedrijf, waardoor urgentie wordt gecreëerd.
- Scherm delen: De fraudeur stelt een sessie voor om het scherm te delen om het probleem efficiënter op te lossen en het slachtoffer gaat akkoord.
- Het scherm manipuleren: Tijdens de sessie krijgt de fraudeur de controle en laat hij transacties zien die voor het slachtoffer echt leken, maar gemanipuleerd waren.
- Aanvraag autorisatiecode: De fraudeur vraagt het slachtoffer een autorisatiecode in te voeren en verbergt zo de werkelijke transacties die worden goedgekeurd.
- Onbedoelde overdracht: Het slachtoffer autoriseert onbewust verschillende transacties, wat resulteert in een verlies van £200.000 voor het bedrijf.
Dit incident herinnert ons eraan hoe belangrijk het is om de juiste veiligheidscontroles te implementeren om dergelijke zwendel in de toekomst te voorkomen, een les waar we dieper op in zullen gaan als we voorbeelden van preventieve maatregelen delen.
3 manieren waarop u APP-fraude kunt bestrijden
De rode vlaggen en veelvoorkomende tactieken herkennen
Er zijn verschillende voorbeelden van APP-fraude, variërend van geavanceerde spear phishing-aanvallen tot directe manipulatie van betalingsprocessen. Deze scenario's uit de praktijk onderstrepen hoe belangrijk het is om waakzaam te blijven en meerlaagse verdedigingsmechanismen te implementeren binnen organisaties. Het herkennen van de gebruikelijke tactieken van fraudeurs - zoals het creëren van een gevoel van urgentie, het exploiteren van persoonlijke gegevens en het manipuleren van e-mailcommunicatie - kan financiële teams in staat stellen om potentiële zwendel te identificeren voordat deze escaleert.
In het bovenstaande geval is het duidelijk dat het slachtoffer de bank had moeten terugbellen op een rechtstreeks nummer, maar de urgentie die de fraudeur creëerde was genoeg voor het slachtoffer om druk te voelen om het probleem snel op te lossen.
Het is altijd het beste om direct met een hogere collega te praten als een communicatie of betaling onregelmatig lijkt. Hier was de gebruikelijke tactiek om het slachtoffer 'in paniek te brengen', en in dit geval had dat helaas resultaat.
Sean geeft een waargebeurd voorbeeld van APP-fraude en hoe hij deze heeft overwonnen.
Effectieve verdedigingsstrategieën ontwikkelen
Om APP-fraude effectief te bestrijden, moeten bedrijven een allesomvattende aanpak hanteren die zowel training van werknemers als technologische oplossingen omvat. Het opzetten van een sterke samenwerking tussen financiële, beveiligings-, IT- en GRC-teams (Governance, Risk and Compliance) is cruciaal.
Door regelmatige trainingssessies kunnen werknemers verdachte activiteiten beter herkennen en melden. Daarnaast kan de integratie van technologie, zoals confirmatie van begunstigden, zorgen voor realtime controle van rekeninggegevens, zodat betalingen naar rechtmatige ontvangers gaan.
Dergelijke training voorziet individuen en organisaties van de kennis om veelvoorkomende fraudetactieken te herkennen, waaronder phishing e-mails en manipulatieve communicatie. De training benadrukt het belang van het verifiëren van betalingsverzoeken en informatie over ontvangers, en bevordert praktijken zoals bevestiging van de begunstigde (CoP) (waarover later meer) om frauduleuze transacties te voorkomen. Daarnaast zorgt de training voor veilige digitale gewoonten, zoals een robuust wachtwoordbeheer en waakzaamheid tegen phishingaanvallen.
In bedrijfsomgevingen verhoogt gespecialiseerde training het bewustzijn van werknemers, waardoor het risico op bedreigingen van binnenuit afneemt. In het geval dat Sean noemde, waren zijn medewerkers voorbereid en klaar om phishingpogingen van die aard in twijfel te trekken, omdat ze de juiste training hadden gehad. Facebook en Google zijn hier zelfs het slachtoffer van geworden: een Litouwse man, Evaldas Rimasauskas, organiseerde een klassiek geval van BEC (Business Email Compromittering) waarbij hij, samen met medesamenzweerders, met succes meer dan $100 miljoen stal van Facebook en Google. Ze deden zich voor als het in Taiwan gevestigde Quanta Computer en verstuurden overtuigende phishing e-mails met vervalste facturen en contracten gedurende twee jaar van 2013 tot 2015.
Wil je meer weten over hoe je effectieve verdedigingsstrategieën kunt implementeren?
Download onze gratis gids: De praktische gids voor de bestrijding van fraude met geautoriseerde pushbetalingen
Technologie inzetten voor preventie
Bevestiging van de begunstigde (CoP) speelt een cruciale rol bij het verijdelen van pogingen tot APP-fraude. Met CoP kunnen organisaties rekeningnummers, sorteercodes en rekeningnamen vergelijken om er zeker van te zijn dat ze overeenkomen. Door deze controles uit te voeren voordat betalingen worden uitgevoerd, kunnen bedrijven inconsistenties identificeren en voorkomen dat geld op frauduleuze rekeningen terechtkomt. Elke naam die niet overeenkomt, leidt tot een waarschuwing, waardoor de betaler wordt gevraagd om de naam te verifiëren.
transactie. CoP gaat social engineering-tactieken van fraudeurs tegen en verbetert de traceerbaarheid in het geval van een inbreuk.
Als het team van dit slachtoffer had besloten om een betaling te doen, zou de CoP-functie cruciaal zijn geweest voor de bescherming van de organisatie. Het zou de inconsistenties tussen de naam van de rekening en de persoon die werd betaald hebben gesignaleerd, waardoor de betaling niet kon worden geautoriseerd totdat deze gegevens waren gecontroleerd.
Meer over hoe je CoP kunt implementeren en automatiseren binnen je financiële processen lees je hier
APP-fraude vormt een aanzienlijk risico voor bedrijven van alle groottes en industrieën. Met een proactieve aanpak, die een combinatie is van werknemerseducatie en technologiegedreven oplossingen, kunnen organisaties het risico om slachtoffer te worden van deze geraffineerde zwendel echter beperken.
Door nauw samen te werken met financiële en beveiligingsteams en gebruik te maken van geavanceerde tools zoals CoP, kunnen bedrijven hun verdediging versterken en hun bedrijfsmiddelen beschermen tegen de altijd aanwezige dreiging van fraude.
Ontdek meer over bevestiging van de begunstigde en manieren waarop je verdachte transacties kunt detecteren voordat ze worden gedaan met onze Fraude- en foutenpreventie Suite.