Ceo-fraude kost bioscoopketen Pathé 19,2 miljoen euro
Bioscoopketen Pathé is begin dit jaar het slachtoffer van ceo-fraude geworden waardoor het bedrijf meer dan 19,2 miljoen euro naar fraudeurs heeft overgemaakt. De directeur van Pathé Nederland ontving op 8 maart van dit jaar verschillende e-mails van fraudeurs die zich voordeden als de leidinggevenden van de Franse moedervennootschap van de bioscoopketen. In de e-mails werd gesproken over de overname van een buitenlands bedrijf.
Deze overname zou middels verschillende transacties moeten plaatsvinden. Ook moest de overname geheim blijven en werd de directeur voor verdere vragen naar een e-mailadres verwezen dat zogenaamd van een KPMG-medewerker was. De directeur merkt gedurende de communicatie met de fraudeurs nog op dat er sprake is van een groot bedrag om zonder Nederlands belang over te boeken zonder dat de raad van commissarissen hiervan op de hoogte is.
Toch wordt er uiteindelijk via verschillende transacties meer dan 19,2 miljoen euro naar de fraudeurs overgemaakt. Na de laatste transactie komen er vragen uit Frankrijk over het overgemaakte geld en blijkt dat Pathé Nederland het slachtoffer van ceo-fraude is geworden. De algemeen directeur stapt per direct op en de financieel directeur wordt op staande voet ontslagen.
De financieel directeur gaat hier tegen in beroep. Hij merkt op dat zowel hij als de algemeen directeur nooit hebben gedacht dat er sprake was van fraude. Ook stelt de financieel directeur dat Pathé hem nooit heeft opgeleid of geïnstrueerd om fraude te signaleren. De rechter stelt in de gerechtelijke uitspraak die deze week openbaar is geworden dat niet is aangetoond dat de Pathé-directeuren actief betrokken zijn geweest bij de fraude. Tevens is niet aangetoond dat deze personen, voorafgaand of gedurende de fraude, kennis van de fraude hebben gehad.
"Pathé lijkt het doelwit te zijn geworden van een professionele bende van fraudeurs, welke door geraffineerde communicatie het vertrouwen van enkele Pathé-medewerkers, en dan met name van respectievelijk de algemeen directeur en de financieel directeur, wisten te winnen", aldus de rechter. Die komt tot de conclusie dat de ceo-fraude geen reden was om de financieel directeur op staande voet te ontslaan. Wel mag zijn contract worden ontbonden wegens verwijtbaar handelen. Pathé wordt dan ook veroordeeld tot het doorbetalen van het salaris van de financieel directeur tot 1 december van dit jaar.
Je hoort toch minstens op de winkel te kunnen passen, dus dit is jezelf een brevet van onvermogen geven.
En het is zo simpel: Even terugbellen. En nee, dat er in de email staat dat vooral niet te doen zou ik niet voor zoete koek slikken. Email is namelijk helemaal niet veilig, minder dan telefoon. Dus dat ene telefoontje* naar de baas "zeg die email met die bak geld naar dubai, doen?" had zomaar even 19,2 miljoen en je baan kunnen schelen.
Om veilig email te kunnen gebruiken moet je toch minstens de Received:-headers kunnen lezen. En dat in gevallen als dit ook doen, en even vergelijken met emailtjes waarvan je zeker weet dat ze van de baas komen. Dat betekent dat email gewoon [x] ongeschikt is voor het gros van de gebruikers, want ze kunnen er niet veilig mee omgaan. Wat toch een redelijke eis is als het bedrijf op email wenst te bouwen.
Wat verder niet wil zeggen dat "jamaar ons is nooit verteld op fraude te letten" complete onzin is voor een directeur. Dat zelf bedenken, daar ben je nou net directeur voor.
* En dus niet "emailtje", en al helemaal niet op de antwoordknop drukken. Denk even na, hee.
Nou als dat zo is waarom kom je dan met "dat Pathé hem nooit heeft opgeleid of geïnstrueerd om fraude te signaleren"? Dat zit toch allemaal al in dat duur betaalde pakket wat je als financieel directeur bent?
Beter maar je verlies nemen en je realiseren dat je niet geschikt bent voor zo'n baan. Dat was em een paar jaar eerder ook al overkomen, overigens.
eerst onder het mom van betere ervaringen en nu onder het smoesje van de BTW verhoging (van 6 naar 9 = 3% maar de prijs van 26 naar 29,50...
En dat is meer dan 80 cent verhoging.
Bij mij was het gelukkig maar een maand wachten en ondertussen vet rommelen met dubbele css files met andere filenames en !important er achter!
Over dom gesproken.....
Maar goed, was wel een duur blikje paté bij die bioscoop!
Hebben ze zo een groot bedrag niet kunnen traceren dan?
Hebben ze zo een groot bedrag niet kunnen traceren dan?
Ik heb het nu even niet over de onkunde en het gebrek aan awareness m.b.t. physing mails. Die onkunde is helaas een feit en speelt in alle lagen van de bevolking. Het is ook niet altijd makkelijk om een physhing mail te herkennen. Het bedrijfsleven werkt ook niet echt mee met allerlei links in hun mailings die wijzen naar een ander domein dan van de email bestemming.
Nee, deze keer gaat het over geld overmaken. dat snapt iedere hollander en zeker ook financiele directeuren.
Ik vind dat pure onachtzaamheid en onbegrijpelijk bij deze grote bedragen en dus verwijtbaar gedrag.
Je begrijpt er meer van als je eerst de uitspraak leest met details over de emails. Het zat echt wel vernuftig in elkaar.
https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2018:7881
Saillant detail is dat de financieel directeur (te vinden op LinkedIn) ook betrokken was bij een andere "smet".
https://www.faillissementsdossier.nl/nieuws/14215/kerstdrama-tuchtrechter-fileert-vleesaccountant-edwin-slutter.aspx
Hier kan weer een mooi boek over geschreven worden.
Je begrijpt er meer van als je eerst de uitspraak leest met details over de emails. Het zat echt wel vernuftig in elkaar.
worden door een computer of een werkzoekende zonder opleiding.
Als je je in dit soort discussies laat meeslepen (hoe ze ook gevoerd worden) moet je serieus nadenken over je capaciteiten
als topmanager.
Je begrijpt er meer van als je eerst de uitspraak leest met details over de emails. Het zat echt wel vernuftig in elkaar.
...
Jazeker, het begon al met het doorgeven van de bankposition op verzoek van deze ongeverifieerde persoon....
"I need you to send me the bank position as of today also to my secure email ( [e-mail adres] ) as well and I’ll send you all the details and instructions."
Hoezo vernuftig? Misschien wilt u mij ook een screenshot van uw bankrekening sturen?
Je begrijpt er meer van als je eerst de uitspraak leest met details over de emails. Het zat echt wel vernuftig in elkaar.
...
Jazeker, het begon al met het doorgeven van de bankposition op verzoek van deze ongeverifieerde persoon....
"I need you to send me the bank position as of today also to my secure email ( [e-mail adres] ) as well and I’ll send you all the details and instructions."
Hoezo vernuftig? Misschien wilt u mij ook een screenshot van uw bankrekening sturen?
Dit had daarop al gecheckt moeten worden
Dit had daarop al gecheckt moeten worden
Dat is gebruikelijk bij Fransen die Engels schrijven .... ;)
In mijn eigen ben je dan echt niet een goede bestuurder.
Hoe vernuftig dat soort KPMG emails ook in elkaar mogen zitten.
Nou, geef eens een overzichtje van de vermeende taalfouten. Verder kan zowel een legitieme als een niet-legitieme email wel/geen spelfouten bevatten.
Je begrijpt er meer van als je eerst de uitspraak leest met details over de emails. Het zat echt wel vernuftig in elkaar.
...
Jazeker, het begon al met het doorgeven van de bankposition op verzoek van deze ongeverifieerde persoon....
"I need you to send me the bank position as of today also to my secure email ( [e-mail adres] ) as well and I’ll send you all the details and instructions."
Hoezo vernuftig? Misschien wilt u mij ook een screenshot van uw bankrekening sturen?
Dit had daarop al gecheckt moeten worden
Hou toch eens op met het verspreiden van de gedachte dat nette mensen altijd foutloos schrijven en criminelen altijd taalfouten maken.
Dat is maar een heel beperkte en onbetrouwbare indicator. Foutloos == vertrouwd gaat je vroeger of later geld kosten.
Je begrijpt er meer van als je eerst de uitspraak leest met details over de emails. Het zat echt wel vernuftig in elkaar.
...
Jazeker, het begon al met het doorgeven van de bankposition op verzoek van deze ongeverifieerde persoon....
"I need you to send me the bank position as of today also to my secure email ( [e-mail adres] ) as well and I’ll send you all the details and instructions."
Hoezo vernuftig? Misschien wilt u mij ook een screenshot van uw bankrekening sturen?
Dit had daarop al gecheckt moeten worden
Hou toch eens op met het verspreiden van de gedachte dat nette mensen altijd foutloos schrijven en criminelen altijd taalfouten maken.
Dat is maar een heel beperkte en onbetrouwbare indicator. Foutloos == vertrouwd gaat je vroeger of later geld kosten.
elementaire zins opbouw fouten horen op te vallen.
2 Mail van een niet officieel mail adres in de eerste instantie als spam/phishing beschouwen
3 Telefonisch verifieren
4 Bij het overschrijven van een groter bedrag als gewoonlijk leidinggevende bij betrekken,dubbel verifieren
Als je duidelijke afspraken maakt, lijkt me dit redelijk waterdicht.
elementaire zins opbouw fouten horen op te vallen.
Werkelijk? Het betreft hier mails van het Franse hoofdkantoor. Hun Nederlands zal zeer belabberd zijn. Als de mail in het Frans opgesteld is zal het voor de Nederlanders moeilijk op taal te beoordelen zijn.
Waarschijnlijk is de mail in het Engels opgesteld. Dat is voor alle partijen niet hun moedertaal. Ik gok dat het Engels van de criminelen zelfs beter is dan dat van de Fransen.
Hier kan weer een mooi boek over geschreven worden.
Nee, film over maken natuurlijk...
Als je duidelijke afspraken maakt, lijkt me dit redelijk waterdicht.
Waarom denk dat je dat zo'n 'codewoord' niet onderhavig is aan dezelfde problemen als een 'password' ?
En aan dezelfde social-engineer problemen als het primaire CEO fraude problem (' ik sta nu op het vliegveld en dat verdomde codewoord van jou ligt op mijn buro. Maak nu maar snel over, geef ik je maandag nog even dat codewoord' )
Verder:
Hier was het de CEO *zelf* die zich liet overtuigen dat er geld ergens naar toe moest - deze CEO zou dus alle correcte codewoorden kunnen gebruiken naar de financiële afdeling toe .
Dan kun je zeggen dat er een codewoord tussen de FR CEO en de NL CEO had moeten zijn, maar het hele regelmatige contact ontbrak - en ook het inzicht bij de NL Directie om even zelf naar FR te bellen en te vragen of de 'off line opdrachten' echt wel de bedoeling waren.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
