De gemeente kwam de oplichting op het spoor toen ze op 15 november een aanmaning kreeg van een leverancier, omdat een factuur nog niet was betaald. In de administratie kon de gemeente terugvinden dat de factuur van 93.000 euro wel was betaald, maar was overgemaakt naar een ander rekeningnummer.

Na wat onderzoek bleek dat oplichters eind september een mail hadden gestuurd naar de gemeente. De oplichters deden zich daarin voor als de leverancier van de gemeente. De mail was voorzien van logo, contactgegevens en een nephandtekening van de contactpersoon van de leverancier. In de mail zeiden de oplichters dat de leverancier een nieuw rekeningnummer had en vroegen ze of de factuur daarnaar overgemaakt kon worden.

"Bij het controleren van het verzoek tot aanpassing van de bankgegevens is de afgesproken werkwijze niet volledig gevolgd", legt de gemeente uit. "Het afwijkende herkomstadres van de e-mail had tot nader onderzoek moeten leiden. En het verzoek had via een ander kanaal, bijvoorbeeld telefonisch, gecontroleerd moeten worden. Dit is niet gebeurd."

In plaats daarvan werd de factuur van de oplichters betaald. "Helaas is deze poging, door een menselijke fout, toch geslaagd."

De oplichters zijn achter de factuur- en contactgegevens van de leverancier gekomen dankzij een phishingmail. Zo hebben ze een factuur kunnen maken die net echt leek. "Voor zover wij hebben kunnen achterhalen is er geen fout in onze systemen ontdekt, noch dat een onbekende toegang heeft gehad tot onze systemen."

De gemeente laat weten dat medewerkers er erg van balen. "Het betrokken team is zeer ontdaan, dat het, ondanks alle maatregelen en werkafspraken, in deze phishingpoging is getrapt. Met volle inzet werken zij aan een verdere aanscherping van de werkprocessen."

De gemeente Helmond gaat aangifte doen en probeert via de bank het geld terug te krijgen.