Geen bank die haar klanten niet op het hart drukt om bijzonder voorzichtig om te springen met e-mailberichten waarin plots gevraagd wordt om min of meer belangrijke bedragen over te schrijven of persoonlijke gegevens mee te delen. Want het zou wel eens om oplichters kunnen gaan, die proberen uw bankrekening nadien kaal te plukken. Phishing, noemt men dat.

Net van die beproefde methode is nu ook Crelan zelf het slachtoffer geworden. Maar dan op hoger niveau, waardoor de bank en verzekeraar zo’n 70 miljoen euro kwijt is. In de eerste helft van vorig jaar maakte Crelan 35 miljoen euro winst. Als de bank in de tweede helft even goed presteerde, ziet ze haar jaarwinst dus volledig in rook op gaan.

Pure blufpoker

Het is Crelan zelf dat met het nieuws en bedrag naar buiten kwam, nadat ze vorige week de fraude ontdekte. “Dat is ongebruikelijk, maar we wilden open zijn naar onze klanten en coöperanten toe. Over de methodiek kan ik niets zeggen, omdat het gerecht dat gevraagd heeft. We willen het onderzoek niet in het gedrang brengen”, reageerde CEO Luc Versele.

In gerechtelijke kringen valt evenwel te horen dat de bank slachtoffer werd van CEO-fraude, waarbij oplichters zich voordoen als de grote baas om heel veel geld te ontfutselen. Daarvoor lichten de fraudeurs eerst de volledige structuur door van het bedrijf dat zij willen oplichten. Vervolgens concentreren zij zich op het mailverkeer binnen dat bedrijf en kraken ze dat. Eens zij in het bezit zijn van het e-mailadres van de CEO en dat van enkele bedienden van de financiële diensten, slaan ze toe.

Per e-mail geven ze zich valselijk uit voor de grote baas, en sturen ze de financiële bediende een bericht waarin de CEO de opdracht geeft om een bepaald bedrag over te schrijven. De betaling moet discreet gebeuren, heet het. Omdat het bedrijf zogezegd plots geconfronteerd wordt met een fiscale controle, een onverwacht tekort heeft in een filiaal, of nog een ander vals voorwendsel. Daarom wordt ook gevraagd het geld naar een buitenlandse rekening te versluizen.

Een zuiver partijtje blufpoker is het. De oplichters gokken gewoon op het feit dat de (hiërarchische) afstand tussen de financieel bediende en de CEO zodanig groot is dat de eerste niet het lef zal hebben om de juistheid van de mail van de tweede na te trekken. En dus de opgedragen betaling zonder morren zal uitvoeren. En dat is dus wat ook gebeurd is bij Crelan.

920.000 klanten

Crelan wou ons gisteren niet bevestigen dat zij het slachtoffer is geworden van dit mechanisme. “Het gerecht heeft me gevraagd om niet te communiceren over de fraude. Ik kan alleen formeel ontkennen dat noch ikzelf, noch het directiecomité, noch leden van de raad van bestuur betrokken zijn bij deze fraude”, reageerde CEO Luc Versele.

Op de vraag of iemand zijn naam misbruikt heeft, antwoordde Versele: “Daar kan ik niets over kwijt, in het belang van het onderzoek. Ik ben niet bij de fraude betrokken en ik zou het nefast vinden, mocht de integriteit van de CEO in dit kader in twijfel worden getrokken.”

Versele benadrukte wel dat de bank met een eigen vermogen van 1,1 miljard euro over ruim voldoende reserves beschikt om de fraude op te vangen. Klanten (zo’n 920.000) noch coöperanten moeten zich zorgen maken. “De bank kan dit verlies dragen”, zegt Versele.

Fiscale paradijzen

CEO-fraude of social engineering is al enkele jaren aan een sterke opmars bezig. Tientallen bedrijven hebben overal ter wereld – ook in ons land – al een klacht ingediend omdat zij op deze manier zijn opgelicht. Maar al te vaak wordt het fraudegeld gestort op rekeningen in fiscale paradijzen, waar het gerecht voor schut wordt gezet wanneer speurders de namen achter de rekeningen proberen te achterhalen.