image

Ceo-fraude kost bioscoopketen Pathé 19,2 miljoen euro

zaterdag 10 november 2018, 15:26 door Redactie, 23 reacties

Bioscoopketen Pathé is begin dit jaar het slachtoffer van ceo-fraude geworden waardoor het bedrijf meer dan 19,2 miljoen euro naar fraudeurs heeft overgemaakt. De directeur van Pathé Nederland ontving op 8 maart van dit jaar verschillende e-mails van fraudeurs die zich voordeden als de leidinggevenden van de Franse moedervennootschap van de bioscoopketen. In de e-mails werd gesproken over de overname van een buitenlands bedrijf.

Deze overname zou middels verschillende transacties moeten plaatsvinden. Ook moest de overname geheim blijven en werd de directeur voor verdere vragen naar een e-mailadres verwezen dat zogenaamd van een KPMG-medewerker was. De directeur merkt gedurende de communicatie met de fraudeurs nog op dat er sprake is van een groot bedrag om zonder Nederlands belang over te boeken zonder dat de raad van commissarissen hiervan op de hoogte is.

Toch wordt er uiteindelijk via verschillende transacties meer dan 19,2 miljoen euro naar de fraudeurs overgemaakt. Na de laatste transactie komen er vragen uit Frankrijk over het overgemaakte geld en blijkt dat Pathé Nederland het slachtoffer van ceo-fraude is geworden. De algemeen directeur stapt per direct op en de financieel directeur wordt op staande voet ontslagen.

De financieel directeur gaat hier tegen in beroep. Hij merkt op dat zowel hij als de algemeen directeur nooit hebben gedacht dat er sprake was van fraude. Ook stelt de financieel directeur dat Pathé hem nooit heeft opgeleid of geïnstrueerd om fraude te signaleren. De rechter stelt in de gerechtelijke uitspraak die deze week openbaar is geworden dat niet is aangetoond dat de Pathé-directeuren actief betrokken zijn geweest bij de fraude. Tevens is niet aangetoond dat deze personen, voorafgaand of gedurende de fraude, kennis van de fraude hebben gehad.

"Pathé lijkt het doelwit te zijn geworden van een professionele bende van fraudeurs, welke door geraffineerde communicatie het vertrouwen van enkele Pathé-medewerkers, en dan met name van respectievelijk de algemeen directeur en de financieel directeur, wisten te winnen", aldus de rechter. Die komt tot de conclusie dat de ceo-fraude geen reden was om de financieel directeur op staande voet te ontslaan. Wel mag zijn contract worden ontbonden wegens verwijtbaar handelen. Pathé wordt dan ook veroordeeld tot het doorbetalen van het salaris van de financieel directeur tot 1 december van dit jaar.

Reacties (23)
10-11-2018, 15:59 door Anoniem
[De financieel directeur] merkt op dat zowel hij als de algemeen directeur nooit hebben gedacht dat er sprake was van fraude. Ook stelt de financieel directeur dat Pathé hem nooit heeft opgeleid of geïnstrueerd om fraude te signaleren.
En dat noemt zichzelf financieel directeur?

Je hoort toch minstens op de winkel te kunnen passen, dus dit is jezelf een brevet van onvermogen geven.

En het is zo simpel: Even terugbellen. En nee, dat er in de email staat dat vooral niet te doen zou ik niet voor zoete koek slikken. Email is namelijk helemaal niet veilig, minder dan telefoon. Dus dat ene telefoontje* naar de baas "zeg die email met die bak geld naar dubai, doen?" had zomaar even 19,2 miljoen en je baan kunnen schelen.

Om veilig email te kunnen gebruiken moet je toch minstens de Received:-headers kunnen lezen. En dat in gevallen als dit ook doen, en even vergelijken met emailtjes waarvan je zeker weet dat ze van de baas komen. Dat betekent dat email gewoon [x] ongeschikt is voor het gros van de gebruikers, want ze kunnen er niet veilig mee omgaan. Wat toch een redelijke eis is als het bedrijf op email wenst te bouwen.

Wat verder niet wil zeggen dat "jamaar ons is nooit verteld op fraude te letten" complete onzin is voor een directeur. Dat zelf bedenken, daar ben je nou net directeur voor.

* En dus niet "emailtje", en al helemaal niet op de antwoordknop drukken. Denk even na, hee.
10-11-2018, 16:12 door Anoniem
De reden dat je op zo'n overbetaalde baan zit is toch dat je zo goed bent dat je dat geld waard bent en niet kunt worden vervangen door "een gewoon iemand"? En dat je dat geld wel moet vangen want anders ga je naar het buitenland waar ze meer betalen ("marktconform" blablabla) en valt er voor het bedrijf geen capabel personeel meer binnen te halen?
Nou als dat zo is waarom kom je dan met "dat Pathé hem nooit heeft opgeleid of geïnstrueerd om fraude te signaleren"? Dat zit toch allemaal al in dat duur betaalde pakket wat je als financieel directeur bent?
Beter maar je verlies nemen en je realiseren dat je niet geschikt bent voor zo'n baan. Dat was em een paar jaar eerder ook al overkomen, overigens.
10-11-2018, 17:26 door Anoniem
Af en toe wachtwoord vervangen als het belangrijk word is wel belangrijk blijkt.
10-11-2018, 17:37 door Anoniem
dus daarom gaat de prijs van bioscoopkaartjes en het pathe gold en unlimited nu voor de 2de keer in 6 maanden omhoog?
eerst onder het mom van betere ervaringen en nu onder het smoesje van de BTW verhoging (van 6 naar 9 = 3% maar de prijs van 26 naar 29,50...
En dat is meer dan 80 cent verhoging.
10-11-2018, 22:32 door Anoniem
Wat een ongelofelijke stommiteit om zoveel geld over te maken zonder enige controle. Als dit representatief is voor het niveau van management in Nederland...
11-11-2018, 16:43 door Anoniem
Achteraf lachen is altijd gemakkelijk. Je moet eens om je site sneller te maken per ongeluk in de caching directives van apache ook je .css en .js files tussen de extensies zetten! En dan twee dagen je rot zoeken waarom updates zo raar doen. Op je live site met gebruikers on line.

Bij mij was het gelukkig maar een maand wachten en ondertussen vet rommelen met dubbele css files met andere filenames en !important er achter!

Over dom gesproken.....

Maar goed, was wel een duur blikje paté bij die bioscoop!
11-11-2018, 19:34 door Anoniem
Niet om te beschuldigen hoor... Maar ik denk dat de Nederlandse vestiging een insider heeft :) Dit klinkt gewoon ongeloofwaardig. Ik denk echt dat iemand de domme en slachtoffer speelt.

Hebben ze zo een groot bedrag niet kunnen traceren dan?
12-11-2018, 09:25 door Anoniem
Door Anoniem: Niet om te beschuldigen hoor... Maar ik denk dat de Nederlandse vestiging een insider heeft :) Dit klinkt gewoon ongeloofwaardig. Ik denk echt dat iemand de domme en slachtoffer speelt.

Hebben ze zo een groot bedrag niet kunnen traceren dan?

Ik heb het nu even niet over de onkunde en het gebrek aan awareness m.b.t. physing mails. Die onkunde is helaas een feit en speelt in alle lagen van de bevolking. Het is ook niet altijd makkelijk om een physhing mail te herkennen. Het bedrijfsleven werkt ook niet echt mee met allerlei links in hun mailings die wijzen naar een ander domein dan van de email bestemming.

Nee, deze keer gaat het over geld overmaken. dat snapt iedere hollander en zeker ook financiele directeuren.
Ik vind dat pure onachtzaamheid en onbegrijpelijk bij deze grote bedragen en dus verwijtbaar gedrag.
12-11-2018, 10:39 door Henri Koppen
Het is een interessant verhaal.

Je begrijpt er meer van als je eerst de uitspraak leest met details over de emails. Het zat echt wel vernuftig in elkaar.

https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2018:7881


Saillant detail is dat de financieel directeur (te vinden op LinkedIn) ook betrokken was bij een andere "smet".

https://www.faillissementsdossier.nl/nieuws/14215/kerstdrama-tuchtrechter-fileert-vleesaccountant-edwin-slutter.aspx

Hier kan weer een mooi boek over geschreven worden.
12-11-2018, 10:59 door Anoniem
Door Henri Koppen:
Je begrijpt er meer van als je eerst de uitspraak leest met details over de emails. Het zat echt wel vernuftig in elkaar.
Dat is toch geen criterium? Je zit daar als financieel directeur om uitermate vernuftig te zijn, anders kon je wel vervangen
worden door een computer of een werkzoekende zonder opleiding.
Als je je in dit soort discussies laat meeslepen (hoe ze ook gevoerd worden) moet je serieus nadenken over je capaciteiten
als topmanager.
12-11-2018, 11:21 door Anoniem
Door Henri Koppen: Het is een interessant verhaal.

Je begrijpt er meer van als je eerst de uitspraak leest met details over de emails. Het zat echt wel vernuftig in elkaar.

...

Jazeker, het begon al met het doorgeven van de bankposition op verzoek van deze ongeverifieerde persoon....
"I need you to send me the bank position as of today also to my secure email ( [e-mail adres] ) as well and I’ll send you all the details and instructions."

Hoezo vernuftig? Misschien wilt u mij ook een screenshot van uw bankrekening sturen?
12-11-2018, 11:48 door Anoniem
Door Anoniem:
Door Henri Koppen: Het is een interessant verhaal.

Je begrijpt er meer van als je eerst de uitspraak leest met details over de emails. Het zat echt wel vernuftig in elkaar.

...

Jazeker, het begon al met het doorgeven van de bankposition op verzoek van deze ongeverifieerde persoon....
"I need you to send me the bank position as of today also to my secure email ( [e-mail adres] ) as well and I’ll send you all the details and instructions."

Hoezo vernuftig? Misschien wilt u mij ook een screenshot van uw bankrekening sturen?
Mail is al verdacht door taalfouten.

Dit had daarop al gecheckt moeten worden
12-11-2018, 12:10 door Anoniem
Door Anoniem: Mail is al verdacht door taalfouten.

Dit had daarop al gecheckt moeten worden

Dat is gebruikelijk bij Fransen die Engels schrijven .... ;)
12-11-2018, 13:00 door Anoniem
Het is echt ongeloofelijk. Als je 13 - 15.000 per maand verdiend en dit overkomt je. Je gaat toch niet blind op emails af bij dit soort enorme bedragen zonder verifcatie - authenticatie van de bron te doen.

In mijn eigen ben je dan echt niet een goede bestuurder.

Hoe vernuftig dat soort KPMG emails ook in elkaar mogen zitten.
12-11-2018, 13:15 door Anoniem
Mail is al verdacht door taalfouten.

Nou, geef eens een overzichtje van de vermeende taalfouten. Verder kan zowel een legitieme als een niet-legitieme email wel/geen spelfouten bevatten.
12-11-2018, 13:29 door Anoniem
Door Anoniem:
Door Anoniem:
Door Henri Koppen: Het is een interessant verhaal.

Je begrijpt er meer van als je eerst de uitspraak leest met details over de emails. Het zat echt wel vernuftig in elkaar.

...

Jazeker, het begon al met het doorgeven van de bankposition op verzoek van deze ongeverifieerde persoon....
"I need you to send me the bank position as of today also to my secure email ( [e-mail adres] ) as well and I’ll send you all the details and instructions."

Hoezo vernuftig? Misschien wilt u mij ook een screenshot van uw bankrekening sturen?
Mail is al verdacht door taalfouten.

Dit had daarop al gecheckt moeten worden

Hou toch eens op met het verspreiden van de gedachte dat nette mensen altijd foutloos schrijven en criminelen altijd taalfouten maken.

Dat is maar een heel beperkte en onbetrouwbare indicator. Foutloos == vertrouwd gaat je vroeger of later geld kosten.
12-11-2018, 16:12 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Henri Koppen: Het is een interessant verhaal.

Je begrijpt er meer van als je eerst de uitspraak leest met details over de emails. Het zat echt wel vernuftig in elkaar.

...

Jazeker, het begon al met het doorgeven van de bankposition op verzoek van deze ongeverifieerde persoon....
"I need you to send me the bank position as of today also to my secure email ( [e-mail adres] ) as well and I’ll send you all the details and instructions."

Hoezo vernuftig? Misschien wilt u mij ook een screenshot van uw bankrekening sturen?
Mail is al verdacht door taalfouten.

Dit had daarop al gecheckt moeten worden

Hou toch eens op met het verspreiden van de gedachte dat nette mensen altijd foutloos schrijven en criminelen altijd taalfouten maken.

Dat is maar een heel beperkte en onbetrouwbare indicator. Foutloos == vertrouwd gaat je vroeger of later geld kosten.
spelling check is een eerste controle.

elementaire zins opbouw fouten horen op te vallen.
12-11-2018, 18:14 door Anoniem
1 Check de spelling in de email

2 Mail van een niet officieel mail adres in de eerste instantie als spam/phishing beschouwen

3 Telefonisch verifieren

4 Bij het overschrijven van een groter bedrag als gewoonlijk leidinggevende bij betrekken,dubbel verifieren
13-11-2018, 14:03 door Anoniem
Als ik CEO was, zou ik met de financiële afdeling een codewoord afspreken, met strikte geheimhouding en voortaan alleen transacties uitvoeren als het codewoord overeenkomt. Deze code stuur je via een ander kanaal dan vanwaar de opdracht gegeven is. En uiteraard regelmatig een nieuw codewoord afspreken.
Als je duidelijke afspraken maakt, lijkt me dit redelijk waterdicht.
13-11-2018, 14:42 door ruudl
Als ik hun was zou ik maar eens een security officer consulteren.
13-11-2018, 16:59 door Briolet
Door Anoniem:spelling check is een eerste controle.

elementaire zins opbouw fouten horen op te vallen.

Werkelijk? Het betreft hier mails van het Franse hoofdkantoor. Hun Nederlands zal zeer belabberd zijn. Als de mail in het Frans opgesteld is zal het voor de Nederlanders moeilijk op taal te beoordelen zijn.

Waarschijnlijk is de mail in het Engels opgesteld. Dat is voor alle partijen niet hun moedertaal. Ik gok dat het Engels van de criminelen zelfs beter is dan dat van de Fransen.
14-11-2018, 14:58 door Anoniem
Door Henri Koppen: ...
Hier kan weer een mooi boek over geschreven worden.

Nee, film over maken natuurlijk...
14-11-2018, 15:40 door Anoniem
Door Anoniem: Als ik CEO was, zou ik met de financiële afdeling een codewoord afspreken, met strikte geheimhouding en voortaan alleen transacties uitvoeren als het codewoord overeenkomt. Deze code stuur je via een ander kanaal dan vanwaar de opdracht gegeven is. En uiteraard regelmatig een nieuw codewoord afspreken.
Als je duidelijke afspraken maakt, lijkt me dit redelijk waterdicht.

Waarom denk dat je dat zo'n 'codewoord' niet onderhavig is aan dezelfde problemen als een 'password' ?

En aan dezelfde social-engineer problemen als het primaire CEO fraude problem (' ik sta nu op het vliegveld en dat verdomde codewoord van jou ligt op mijn buro. Maak nu maar snel over, geef ik je maandag nog even dat codewoord' )

Verder:
Hier was het de CEO *zelf* die zich liet overtuigen dat er geld ergens naar toe moest - deze CEO zou dus alle correcte codewoorden kunnen gebruiken naar de financiële afdeling toe .

Dan kun je zeggen dat er een codewoord tussen de FR CEO en de NL CEO had moeten zijn, maar het hele regelmatige contact ontbrak - en ook het inzicht bij de NL Directie om even zelf naar FR te bellen en te vragen of de 'off line opdrachten' echt wel de bedoeling waren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.