Cashbackfraude: een groter wordend probleem
Werkt u bij een winkelketen of heeft u een eigen bedrijf met producten die in aanmerking komen voor cashback? Bij deze acties kan een deel van het aankoopbedrag worden teruggevraagd bij de fabrikant. Een fenomeen dat zeer gevoelig voor fraude blijkt te zijn. Zo vond International Security Partners afgelopen jaar 100.000 euro aan frauduleuze cashbackaanvragen.
Wie ‘cashbackfraude’ googlet, komt al gauw tot de conclusie dat er in de media niet veel over wordt gezegd. Enkel een artikel van het AD met ‘Student steelt voor 18.000 euro via actie Samsung’ geeft een klein inkijkje in de grote bedragen die met dit type fraude zijn gemoeid. Maar dat er weinig aandacht voor is, betekent niet dat het niet relevant is. “Ik durf zelfs te zeggen dat het een groter wordend probleem is, en dat wat we nu vinden slechts de top van de ijsberg is”, vertelt Rick Heijnen, onderzoeker bij International Security Partners. Zo bracht ISP recentelijk cashbackfraude aan het licht bij een bedrijf, waarbij er 10 tot 89 keer met vergelijkbare gegevens fraude werd gepleegd. “Dat zijn serieuze aantallen én serieuze bedragen”, aldus Heijnen.
Wat is cashbackfraude?
Cashbackfraude werkt als volgt. U koopt een product. Denk aan een telefoon, magnetron of televisie. Omdat het vaak om grote bedragen gaat, wordt u een cashbackactie aangeboden. Dat betekent dat u bij het inleveren van de factuur een bepaald bedrag op uw rekening krijgt teruggestort. Wanneer er fraude wordt gepleegd, wordt er niet één factuur ingeleverd, maar meerdere. Hoe? Door met de benodigde gegevens te sjoemelen. “De ene keer een andere naam, dan weer een ander mailadres of adres. “Daarbij wordt er vaak gebruik gemaakt van gegevens die niet makkelijk te herleiden zijn op de dader in kwestie”, aldus Heijnen. Het gevolg: de facturen worden zonder problemen uitgekeerd en de dader verdient eraan. “Dat dat zo makkelijk gaat, kan meerdere oorzaken hebben. In onze meest recente casus kwam het doordat de cliënt de identieke serienummers van het product niet aan de factuur had gekoppeld. Op basis van die factuur werden cashbacks aangevraagd.”
Waarom is het zo makkelijk?
“Tegenwoordig gebeurt alles grotendeels online. En wanneer je iets online koopt, zitten er vaak geen mensen meer tussen.” De fraude vindt daarom ook vooral online plaats. Via die weg kun je makkelijk een aanvraag sturen zonder dat ze door menselijke ogen gecontroleerd wordt. “En dat is dus waar het misgaat.” Doordat er niet naar de gegevens op de factuur gekeken wordt, vallen de zogenaamde ‘red flags’ niet op. “Bijvoorbeeld een naam die vaker voorkomt, of een adres.” Volgens Heijnen zou dat geen probleem moeten zijn bij een systeem dat goed is ingericht. “Dan ‘snapt’ het systeem dat er iets niet klopt wanneer gegevens meerdere keren voorkomen.” Wanneer dat niet gebeurt, wordt de cashback zonder pardon uitgekeerd. “Maar in principe is dat dus goed op te lossen door het vaststellen van parameters.”
Die parameter gaat ‘branden’ als er een verdachte activiteit is. Vervolgens wordt er door een menselijk oog naar gekeken en kun je vaststellen of het (mogelijk) om fraude gaat. Als het om fraude gaat kun je dadergericht onderzoek verrichten. Dan ontstaat er een ‘web’ van informatie, dat je kunt verbinden en waardoor cashbackaanvragen te herleiden zijn. “Dus een parameter zou drie keer dezelfde naam kunnen zijn. En hetzelfde kan met een mail of adres. Dan gaat er een ‘lampje branden’ en gaan wij aan het werk.”
Het systeem dat Heijnen schetst, is overigens niet waterdicht. Niet alle frauduleuze cashbacks zijn op te lossen. “Wanneer we moeten ingrijpen, gaat het om een menselijke interventie. Hoe complexer het probleem, des te meer moeite het kost. Dus een achternaam als Janssen, die veel voorkomt, brengt problemen met zich mee.” Daarnaast zijn er gevallen die frauduleus ogen, maar dat niet zijn. Ook die kosten extra tijd. “Je kunt ook verhuizen en veel nieuwe spullen nodig hebben. Dan is het niet gek dat je vijf cashbackaanvragen hebt lopen.”
Hoe ISP kan helpen
International Security Partners kan helpen met het voorkomen en onderzoeken van cashbackfraude. “Met het voorkomen van de fraude werken we aan de ‘voorkant’. Daarbij voeren we een audit uit op de bedrijssystemen en -werkwijzen, brengen we eventuele zwakke plekken in kaart en adviseren we u over het voorkomen.” Aan de ‘achterkant’ houdt ISP zich bezig met het opsporen van de daders. Dus wanneer het feit al heeft plaatsgevonden. “We brengen eerst, met behulp van de informatie van de klant, in kaart welke aanvragen frauduleus zijn en of we verschillende frauduleuze aanvragen met elkaar in verband kunnen brengen. Dan ontstaat er een web van frauduleuze aanvragen, die met elkaar in verband staan en van dezelfde persoon of personen afkomstig zijn. Vervolgens gaan we met de informatie die deze personen gebruiken een OSINT-onderzoek verrichten.” Dat gebeurt door in (semi-)openbare bronnen te onderzoeken of er een adres van de daders achterhaald kan worden.
Gegevens die vaker voorkomen zijn op meerdere manieren te herleiden. Als iemand persoonlijke gegevens heeft gebruikt, zijn die te verifiëren bij een (semi-)openbare bron als het Kadaster. Wanneer er bedrijfsinformatie is ingevoerd, is dat soms ook te herleiden is naar een adres of naam. Zo kunnen we fraudeurs makkelijk ‘ontmaskeren’. De volgende stap? Heijnen: “De ervaring leert dat een ‘normaal gesprek’ veel kan opleveren. Dat wil zeggen: zonder tussenkomst van bijvoorbeeld een rechter. In veel gevallen zijn het namelijk geen ‘echte’ criminelen. Bovendien duren strafrechtelijke procedures vaak veel langer.” Lukt dat niet, dan kunnen juridische stappen ondernomen kunnen worden.
Wilt u cashbackfraude voorkomen, ondervindt u er nu al de gevolgen van of wilt u dat wij onderzoek doen naar de daders? ISP begeleidt, ondersteunt en adviseert u graag. Wij helpen u de continuïteit van uw organisatie te waarborgen. Neem voor meer informatie over een fraude-onderzoek contact met ons op.