Stel je voor: je krijgt een mail van de CEO van het bedrijf waarvoor je werkt. Zogezegd dringend of vertrouwelijk. Er wordt je gevraagd om snel een betaling uit te voeren, of een wachtwoord of andere gevoelige gegevens door te sturen. Alles lijkt te kloppen — de naam, de e-mailhandtekening, en de tone of voice. En toch… is het fraude.
Business Email Compromise (BEC), ook wel CEO-fraude genoemd, is één van de meest winstgevende cyberaanvallen. Cybercriminelen vragen eenvoudigweg de gevoelige gegevens of toegangsgegevens op via e-mail of telefoon, of laten een medewerker van het bedrijf zelf een betaling uitvoeren naar hun rekening, en er zijn verder geen gesofisticeerde hackingtechnieken nodig. We zien in de praktijk dat kmo’s een populair doelwit zijn, omdat hier medewerkers vaak brede functies invullen en er minder goedkeuringssystemen bestaan op vlak van de financiën.
Het goede nieuws? Je hoeft gelukkig geen enterprise-budget te hebben om je hiertegen te beschermen. Met een paar slimme ingrepen maak je het aanvallers al véél moeilijker.
Wat is BEC of CEO-fraude precies?
Bij BEC-fraude doet een aanvaller zich voor als een CEO, CFO of leverancier om een betaling te laten uitvoeren, of gevoelige gegevens te bekomen. Typische scenario’s zijn:
- “Kan je dringend deze factuur betalen? Ik zit in een meeting.”
- “We zijn van bank veranderd, gebruik vanaf nu dit rekeningnummer a.u.b.”
- “Hou dit vertrouwelijk, het gaat over gevoelige informatie.”
Voor dit soort cybercriminaliteit zijn er dus geen hacks nodig. Er wordt eenvoudigweg slim ingespeeld op tijdsdruk en vertrouwen.
Waarom zijn kmo’s extra kwetsbaar?
Kmo’s hebben gewoonlijk minder strikte betaalprocessen dan grote organisaties waar interne goedkeuringssystemen bestaan. Ook wordt er in kmo-omgevingen vaak sneller geschakeld en gecommuniceerd. Er wordt al eens gezegd: ‘We regelen dat wel even tussendoor’. Daarnaast wordt er in kmo’s minder geïnvesteerd in awarenesstrainingen rond phishing en spoofing. Tenslotte zien we dat de beveiliging en/of configuratie van mailboxen in kmo’s dikwijls niet op punt staat. En net daar mikken aanvallers natuurlijk op.
Hoe kun je BEC-, of CEO-fraude tegengaan?
Hoewel het altijd mogelijk is dat cybercriminelen hun kans wagen met BEC-, of CEO-fraude, zijn er ook verschillende acties die je kunnen helpen om BEC-, of CEO-fraude tegen te gaan.
1. Maak betaalprocessen “fraudebestendig”
De grootste fout? Dat één of meerdere personen volmachten hebben op de rekening, en er betalingen kunnen gebeuren zonder extra controle.
Door het vier-ogenprincipe bouw je in dat betalingen boven een bepaald bedrag door een tweede persoon geverifieerd moeten worden. Ook kun je werken met vaste betaalmomenten in de plaats van ad hoc transfers, al dan niet met een goedkeuringssysteem door een tweede persoon.
2. Gebruik standaardprocedures
Standaardprocedures invoeren gaat niet over wantrouwen, maar over slim en efficiënt werken, en uiteraard ook proactief wapenen tegen cybercriminaliteit. Klanten of leveranciers nabellen bij wijziging van een rekeningnummer kan zo een standaard procedure zijn.
3. Anti-spoofing: SPF, DKIM en DMARC records
Veel BEC-aanvallen slagen omdat e-mails perfect lijken te komen van een vertrouwde domeinnaam. Daarom is het belangrijk om de domain name records correct te laten configureren door je IT’er. Denk aan:
- SPF (Sender Policy Framework): deze records bepalen welke servers e-mails mogen versturen namens jouw domeinnaam.
- DKIM (DomainKeys Identified Mail): deze voegen een digitale handtekening toe, zodat de inhoud niet gewijzigd wordt.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): deze kan helpen om verdachte e-mails te blokkeren of weigeren.
Zonder deze instellingen kunnen hackers gemakkelijker e-mails sturen uit naam van je bedrijf, leveranciers of klanten misleiden, en intern geloofwaardig overkomen.
4. Awareness als human firewall
Technologie helpt, maar mensen blijven de eerste verdedigingslinie. Train je team dus om signalen te herkennen van BEC/CEO-fraude. Ongewone urgentie in e-mails of telefoongesprekken, een afwijkende schrijfstijl, kleine afwijkingen in het gekende e-mailadres, of verzoeken om vertrouwelijke informatie zouden een alarmbel moeten laten rinkelen. Maak deze vorm van cybercriminaliteit dus zeker bespreekbaar tijdens meetings of teambuildingmomenten in het bedrijf, organiseer korte awareness-trainingen, en benoem situaties waarin verdachte emails succesvol gemeld werden.
Zo pak je BEC/CEO-fraude aan
Start met de quick wins:
✔️ Vier-ogenprincipe voor betalingen
✔️ Telefonische verificatie bij wijzigingen
✔️ SPF/DKIM/DMARC records correct instellen
✔️ Team trainen op herkenning van fraude
✔️ Gestandaardiseerde workflows
👉 Wil je je e-mailsecurity onder de loep nemen?
We helpen je met een check-up en concrete verbeteracties. Stuur een bericht via onze contactpagina en we helpen je om je bedrijf beter te wapenen tegen fraude en cybercriminaliteit.
