Cybercriminelen worden steeds slimmer. Waar vroeger vooral grote bedrijven doelwit waren, zien we nu steeds vaker aanvallen op verenigingen, stichtingen en vrijwilligersorganisaties. Waarom? Omdat daar vaak minder controlemechanismen aanwezig zijn.
Hoe werkt WhatsApp-fraude?
Een penningmeester ontvangt op dinsdagmiddag een WhatsApp-bericht van de voorzitter.
“Hallo, ik zit de hele middag in overleg en ben slecht bereikbaar. Kun jij even helpen? We moeten vandaag nog een factuur betalen voor een leverancier. Ik stuur hem zo door.”
Even later volgt een PDF-factuur die er professioneel uitziet. Het logo van de leverancier klopt, het bedrag lijkt geloofwaardig en de toon van het bericht voelt vertrouwd. De voorzitter dringt aan op snelheid omdat de betaling “vandaag echt nog weg moet”.
Wat de penningmeester niet weet, is dat het bericht helemaal niet van de voorzitter afkomstig is. Een oplichter heeft via de website of sociale media ontdekt wie de bestuursleden zijn. Met een nieuw telefoonnummer en een profielfoto van de voorzitter weet hij vertrouwen te wekken.
Omdat alles logisch lijkt en er snel gehandeld moet worden, wordt de betaling uitgevoerd.
Pas enkele dagen later blijkt dat het geld niet naar de leverancier is gegaan, maar naar een buitenlandse rekening van criminelen. Het bedrag is verdwenen en terughalen blijkt vrijwel onmogelijk.
Dit soort WhatsApp-fraude komt steeds vaker voor bij verenigingen en stichtingen. Juist omdat besturen vaak werken met vrijwilligers, onderlinge vertrouwensrelaties en informele communicatie, zijn zij een aantrekkelijk doelwit voor oplichters.
Waarom besturen kwetsbaar zijn
Veel organisaties werken met:
- vrijwilligers
- gedeelde verantwoordelijkheden
- beperkte controles
- privételefoons en privé-mailadressen
Dat maakt fraudeurs extra geïnteresseerd.
Drie eenvoudige maatregelen
Werk met het vier-ogen-principe
Laat grotere betalingen altijd controleren door minimaal twee personen.
Gebruik functiegebonden e-mailadressen
Gebruik bijvoorbeeld:
in plaats van privé-adressen.
Spreek een verificatieprocedure af
Bij spoedbetalingen:
- altijd telefonisch controleren
- nooit alleen afgaan op WhatsApp
- rekeningnummers dubbel controleren
Goed bestuur is ook digitale veiligheid
Cybercriminaliteit is allang geen IT-probleem meer. Het is een bestuursrisico geworden.
Wanneer een vereniging of stichting slachtoffer wordt van fraude, gaat het vaak niet alleen om het verloren geld. Leden kunnen vragen stellen over het gevoerde beleid, subsidieverstrekkers kunnen om uitleg vragen en bestuurders kunnen worden aangesproken op het ontbreken van voldoende controlemaatregelen. In ernstige situaties kan zelfs discussie ontstaan over bestuurlijke aansprakelijkheid.
Met duidelijke afspraken over betalingen, het vier-ogen-principe en verificatie van betaalverzoeken voorkom je veel problemen. Zo bescherm je de organisatie én jezelf als bestuurder.
Vragen over jouw situatie?
Schrijf je in voor ons gratis WBTR-webinar. In 30 minuten krijg je duidelijke uitleg, praktijkvoorbeelden en kun je live je vragen stellen.
