Vergeet ransomware en malware. De duurste vorm van cybercrime is Business Email Compromise (BEC), ook wel CEO-fraude genoemd. Volgens de FBI heeft BEC wereldwijd meer dan $50 miljard aan schade veroorzaakt. In Nederland schatten experts de schade op honderden miljoenen euro's per jaar. Het perfide aan BEC is dat er geen malware, geen links en geen bijlagen bij komen kijken. Het is pure social engineering.
Wat is BEC precies?
Bij BEC doet een aanvaller zich via e-mail voor als een vertrouwde partij: de CEO, een leverancier, een advocaat of een collega. Het doel is altijd financieel: het slachtoffer overhalen om geld over te maken naar een door de aanvaller gecontroleerde rekening. De bedragen variëren van duizenden tot miljoenen euro's.
Wat BEC onderscheidt van reguliere phishing is de mate van voorbereiding. Aanvallers besteden weken tot maanden aan het bestuderen van hun doelwit. Ze analyseren de bedrijfsstructuur, identificeren wie betalingen goedkeurt, leren de communicatiestijl van de CEO kennen en slaan toe op het perfecte moment, bijvoorbeeld wanneer de CEO op zakenreis is of de financieel directeur met vakantie gaat.
Hoi,
Ik zit in een vergadering en kan niet bellen. Kun je snel een betaling regelen voor die acquisitie waar we het over hadden? Het is vertrouwelijk, deel het met niemand.
€47.500 naar:
NL91ABNA0417164300
t.n.v. Meridian Consult B.V.
Graag vandaag nog.
Verstuurd vanaf mijn iPhone
Een typische BEC-mail: persoonlijk, urgent en vertrouwelijk. De drie ingrediënten die een medewerker onder druk zetten.
De 5 vormen van BEC
CEO-fraude
De aanvaller doet zich voor als de CEO of een directielid en vraagt een medewerker (vaak financiën) om een dringende betaling. Kenmerkend: urgentie, vertrouwelijkheid en het omzeilen van normale goedkeuringsprocessen.
Factuurfraude
De aanvaller doet zich voor als een bestaande leverancier en stuurt een factuur met gewijzigd rekeningnummer. Of de aanvaller compromitteert het e-mailaccount van de leverancier en stuurt een legitiem ogende mail met nieuw bankrekeningnummer.
Advocaat-impersonatie
De aanvaller doet zich voor als een advocaat of juridisch adviseur die betrokken is bij een vertrouwelijke transactie. Dit werkt vooral op minder ervaren medewerkers die geïntimideerd worden door de juridische context.
Account compromise
Het e-mailaccount van een medewerker wordt daadwerkelijk gehackt (vaak via phishing). Vanuit dit account worden facturen naar klanten gestuurd met gewijzigd rekeningnummer. Bijzonder gevaarlijk omdat de mails echt zijn.
Payroll-fraude
De aanvaller doet zich voor als een medewerker en vraagt HR om het salaris voortaan naar een ander rekeningnummer over te maken. Eenvoudig maar effectief, vooral bij bedrijven zonder strikt wijzigingsprotocol.
Anatomie van een BEC-aanval
Een typische BEC-aanval verloopt in vijf fases:
Doelwit selectie
Via LinkedIn, de bedrijfswebsite en openbare bronnen identificeert de aanvaller het doelwit: wie is de CEO, wie beheert de financiën, welke leveranciers worden gebruikt?
Toegang verkrijgen
De aanvaller registreert een lookalike domein, hackt een e-mailaccount via phishing, of compromitteert het account van een leverancier. Dit duurt vaak weken.
Observeren en leren
Bij een gehackt account leest de aanvaller mee met e-mails om communicatiepatronen, lopende projecten en betalingsprocessen te analyseren. Dit kan maanden duren.
Toeslaan
Op het perfecte moment — de CEO is op reis, de CFO is ziek — stuurt de aanvaller de frauduleuze mail. De timing en context zijn altijd overtuigend.
Geld witwassen
Het geld wordt direct doorgesluisd naar meerdere rekeningen, vaak in verschillende landen. Na 24-48 uur is het geld vrijwel onmogelijk terug te halen.
Waarom het MKB extra kwetsbaar is
Hoewel de spectaculairste BEC-zaken over grote corporaties gaan, is het MKB verhoudingsgewijs kwetsbaarder. De redenen:
- Plattere organisatie: In veel MKB-bedrijven keurt één persoon betalingen goed. Er is geen scheiding van taken of vier-ogen-principe.
- Informele communicatie: De CEO appt of mailt direct met de boekhouder. Dit maakt BEC minder opvallend, want informele verzoeken zijn normaal.
- Minder IT-beveiliging: Geen dedicated security team, geen geavanceerde e-mailbeveiliging, geen MFA op alle accounts.
- Minder awareness: Medewerkers zijn niet getraind om dit soort aanvallen te herkennen. Ze vertrouwen op de afzendernaam zonder het adres te controleren.
- Grotere impact: Een verlies van €50.000 is voor een multinational vervelend, maar voor een MKB-bedrijf kan het existentieel zijn.
Beschermingsmaatregelen
Technisch
- DMARC met p=reject op uw domein
- MFA op alle e-mailaccounts
- Anti-impersonation policies
- Mailbox audit logging
- Conditional Access policies
Organisatorisch
- Vier-ogen-principe bij betalingen
- Telefonische verificatie bij wijzigingen
- Awareness training voor alle medewerkers
- Duidelijk escalatieprotocol
- Geen betalingswijzigingen per e-mail
Incident response: wat te doen bij BEC
Heeft u een betaling gedaan naar aanleiding van een BEC-aanval? Elke minuut telt:
Binnen 30 minuten: Neem direct contact op met uw bank en vraag om de transactie te stoppen of terug te draaien. Hoe sneller, hoe meer kans op succes.
Binnen 1 uur: Doe aangifte bij de politie. Dit is belangrijk voor verzekeringsclaims en eventuele internationale samenwerking bij het traceren van de gelden.
Binnen 24 uur: Als een account is gecompromitteerd, wijzig alle wachtwoorden, schakel MFA in, controleer mailflow-regels op doorstuurregels en check uw audit logs.
Na het incident: Analyseer hoe de aanval is geslaagd, implementeer aanvullende maatregelen en informeer medewerkers. Gebruik het als leermoment.
Bescherm uw bedrijf tegen CEO-fraude
Wij helpen u met technische en organisatorische maatregelen om BEC-aanvallen te voorkomen.
Plan een security assessment