Postorderbedrijf Wehkamp heeft zich onlangs beet laten nemen door cybercriminelen. De hackers deden zich voor als curatoren van het failliete modemerk Didi, met het verzoek resterende opbrengsten naar een ander rekeningnummer over te maken. Wehkamp deed onderzoek naar de herkomst van de mail, maar toen men er eenmaal achter was dat het adres van de afzender niet pluis was, was het al te laat. Wehkamp raakte daardoor €144.000 kwijt.
Afgelopen week nog meldde een collectief van de Nederlandse Vereniging van Banken, het Anti Money Laundering Centre en consultancyfirma PwC dat bedrijven momenteel kwetsbaar zijn voor CEO-fraude. Amper een week later komt naar buiten dat Wehkamp zich heeft laten beetnemen door hackers voor een bedrag van €144.000. Dat is nog lang niet zoveel als de ongeveer €17 miljoen schade die bioscoopketen Pathé in 2018 leed, maar in een concurrerende wereld is het meer dan een kleine tegenvaller. Strikt genomen is hier trouwens geen sprake van CEO-fraude, maar van curatorfraude, voor zover dat woord al bestaat.
Begin februari viel voor modeketen Didi het doek. Nadat al enkele jaren rode cijfers werden geschreven, besloot men de stekker eruit te trekken. Mocht dat toen trouwens niet gebeurd zijn, dan had de coronacrisis vermoedelijk het laatste zetje wel gegeven. Hoe dan ook, Wehkamp was één van de partijen dat zelf ook kleding van Didi aanbood. Alle opbrengst van Didi-kleding die het postorderbedrijf nog wist te verkopen werd overgemaakt naar de curatoren van dienst.
Kort na het faillissement lukte het cybercriminelen om toegang te krijgen tot het mailsysteem van online grootgrutter uit Zwolle. Zodoende leerde men dat er regelmatig flinke bedragen werden overgemaakt naar de curatoren. Vervolgens maakten ze vrijwel gelijke emailadressen aan en namen het mailverkeer over. Men vroeg Wehkamp de opbrengsten voortaan naar een ander nummer over te maken, wat ze uiteindelijk netjes deden. Toen Wehkamp het doorkreeg was het te laat.
Achteraf is het meestal makkelijk oordelen. De hackers hadden een rekening bij ING en met bijvoorbeeld de IBAN-Naamcheck van SurePay had Wehkamp een signaal kunnen krijgen dat het ‘nieuwe’ rekeningnummer niet van de curatoren was. Dat is kennelijk niet gebeurd of de waarschuwing moet genegeerd zijn. Ondertussen is het vingerwijzen in elk geval begonnen. De curatoren eisen dat Wehkamp het bedrag vergoedt, Wehkamp wast zijn handen in onschuld.