De gemeente Helmond heeft in september een bedrag van 93.000 euro overgemaakt aan onbekenden. De gemeente trapte in een nep-aanmaning die via de mail binnenkwam.

Op 15 november ontving de gemeente een aanmaning op een niet betaalde factuur van een leverancier. Bij controle in de administratie bleek dat deze wel betaald was, maar aan een ander rekeningnummer.

Wat bleek: criminelen hadden in september al een nepfactuur gestuurd, waarbij stond dat het rekeningnummer was veranderd. Om dat te kunnen doen, hadden ze via phishing factuur- en contractgegevens weten te bemachtigen.

De nepmail was voorzien van logo en contactgegevens van de leverancier, en was zogenaamd ondertekend door de vaste contactpersoon.

Er gingen geen alarmbellen af: de crediteurenadministratie betaalde de 'rekening' in goed vertrouwen. De afdeling heeft onvoldoende gecontroleerd of de door de nepklant doorgegeven wijziging van het rekeningnummer wel klopte. Burgemeester Sjoerd Potters van Helmond noemt het tegenover de gemeenteraad 'een menselijke fout'.

Het voorgeschreven 'vier-ogen-principe', waarin iemand anders meekijkt om te controleren, werd overgeslagen. Pas toen het te laat was drong het door dat de gemeente 'door een combinatie van externe en interne fouten in een phishingpoging getrapt is'.

Volgens Potters wordt geprobeerd via de bank het geld terug te krijgen. Er is een intern onderzoek opgestart dat moet leiden tot het voorkomen van dit soort fouten. Ook gaat de gemeente aangifte doen.