Dreiging · Business Email Compromise

Business Email Compromise: de fraude die zich voordoet als jouw eigen mensen.

BEC: de duurste cyberdreiging voor het mkb

BEC is geen technische hack. Criminelen misbruiken vertrouwen, autoriteit en tijdsdruk om medewerkers tot betalingen of het delen van vertrouwelijke informatie te verleiden. Met AI worden die aanvallen razendsnel professioneler: perfecte taal, nagebootste stemmen, gesimuleerde videogesprekken. De traditionele signalen om fraude te herkennen werken niet meer.

Plan een BEC-demo Download de NCSC publicatie
Door het Attic Lab security team

BEC kost Nederlandse mkb'ers miljoenen

Vooral het mkb blijkt kwetsbaar. Onderzoek toont aan dat 70% van het mkb wekelijks BEC-pogingen ontvangt, en de gemiddelde schade per geslaagde aanval bedraagt € 118.000 (FBI IC3 2024).

€ 118.000

Gemiddelde schade per BEC-incident. Voor veel mkb'ers een existentiële bedreiging.

40%

Van alle BEC-phishingmails is AI-gegenereerd. Na de introductie van ChatGPT steeg social engineering met 135%.

72 dagen

In één gedocumenteerd geval observeerden criminelen 72 dagen lang voordat ze toesloegen. Ze kenden alle details van lopende transacties.

Bekende Nederlandse BEC-zaken

Bron: NCSC publicatie BEC — Praktische handvatten voor het mkb, april 2026.

Organisatie Schade Methode
Pathé Nederland € 19,2 miljoen CEO-fraude via e-mail
Jewometaal Rotterdam € 11,4 miljoen CEO-fraude telefoon + e-mail (voice deepfake)
Rijksmuseum Twenthe € 2,85 miljoen Factuurfraude via onderschepte e-mails
Financieel dienstverlener € 1,5 miljoen Wijziging rekeningnummer
Elco Helmond / Aarle-Rixtel € 771.760 — faillissement Vervalste CEO-e-mailadressen

Bij Elco verdween het familiebedrijf door één geslaagde aanval. De curator omschreef het als "een flinke hap uit de broek" — een understatement.

De vijf fasen van een BEC-aanval

BEC-aanvallen volgen meestal hetzelfde patroon. Wie het patroon kent, herkent de aanval voordat de betaling de deur uit is.

  1. 1

    Verkenning

    LinkedIn, bedrijfswebsite, persberichten en datalekken. Wie keurt betalingen goed? Wie zit op finance?

  2. 2

    Toegang verkrijgen

    Phishing-mail met nep-inlogpagina, MFA-bypass via AitM, gestolen credentials van het darkweb of malware via een nep-factuur.

  3. 3

    Observeren en leren

    Geduldig meelezen in de mailbox. In één gedocumenteerd geval 72 dagen lang. Welke facturen lopen er? Wie is er met vakantie?

  4. 4

    De aanval

    Een urgent CEO-verzoek, een gecorrigeerde factuur, of een leverancier die "net" zijn rekeningnummer heeft gewijzigd. Timing: vlak voor de vakantie of op een vrijdagmiddag.

  5. 5

    Geld wegsluizen

    Binnen uren via meerdere landen verspreid, omgezet in crypto of contant. Terugboeken is dan vrijwel onmogelijk.

De aanval slaat zelden zomaar toe. Vaak begint het met een geslaagde AiTM-phishingaanval die MFA omzeilt, gevolgd door wekenlang meelezen. Pas als de aanvaller alle details van een lopende transactie kent, valt het frauduleuze betaalverzoek op precies het juiste moment binnen.

AI heeft de spelregels veranderd

Tot voor kort herkende je een fraudepoging aan slechte taal en spelfouten. Die tijd is voorbij. Criminelen schrijven nu perfect Nederlands, bootsen stemmen na en simuleren live videogesprekken met de directeur.

Perfecte phishing-mails

ChatGPT en vergelijkbare tools schrijven foutloos Nederlands, imiteren de schrijfstijl van jouw directeur en passen de toon aan op de ontvanger.

Voice deepfakes

Met enkele seconden geluid (van een bedrijfsvideo op YouTube) is de stem van je CEO live na te bootsen tijdens een telefoongesprek. Jewometaal verloor zo € 11,4 miljoen.

Video deepfakes

In Hong Kong nam een medewerker deel aan een videocall met een "CFO en collega's". Iedereen was een deepfake. Schade: € 23,7 miljoen.

Schaalbare spear-phishing

Waar een crimineel vroeger één bedrijf per keer kon aanvallen, kan hij nu honderden bedrijven tegelijk benaderen met op maat gemaakte berichten.

Werkt niet meer

  • Vertrouwen op spelfouten
  • Vertrouwen op taalgebruik
  • Alleen e-mailverificatie
  • Vertrouwen op stemherkenning

Werkt wel

  • Altijd terugbellen via een bekend nummer
  • Vier-ogen-principe bij elke betaling
  • Phishing-resistente MFA (FIDO2, Windows Hello)
  • Verificatievragen die alleen de echte persoon kan beantwoorden

Hoe Attic BEC stopt in Microsoft 365

De NCSC-publicatie beschrijft 19 concrete technische maatregelen tegen BEC in Microsoft 365. Attic dekt elke fase van de aanvalsketen — van de eerste phishing-mail tot het uitvoeren van de remediatie als er toch iemand geklikt heeft.

FREE

Stop AiTM-phishing aan de browser-kant

Maatregel 004

Attic FREE waarschuwt medewerkers met een rood alarmscherm bij nep-inlogpagina's en toont een echtheidszegel op echte Microsoft 365-pagina's. Voorkomt dat sessiecookies en MFA-tokens worden gestolen — de meest gebruikte ingang naar BEC.

Meer over FREE
BOUNCER

Houd phishing en spoofing bij de deur

Maatregelen 002 · 003 · 005 · 008 · 015

SPF, DKIM en DMARC correct geconfigureerd. Direct Send uitgeschakeld. Safe Links en Safe Attachments aan. Risico-bijlagen zoals .html geblokkeerd. Ook intern en uitgaand verkeer wordt gescand op phishing-kenmerken — niet alleen het inkomende verkeer.

Meer over BOUNCER
MDR

24/7 detectie van wat tóch binnenkomt

Maatregelen 007 · 011 · 012 · 013

Aanmeldingen vanuit ongebruikelijke locaties, impossible-travel, uitschakelen van audit logging, nieuwe MFA-uitzonderingen op admin-accounts — onze MDR herkent de tactieken die aanvallers gebruiken tussen "binnen" en "uitslaan". Unified Audit Log staat aan en wordt centraal bewaakt.

Meer over MDR
FIXER

Automatische respons binnen seconden

Maatregelen 009 · 016

Als een account toch wordt overgenomen, kapt Fixer direct in: actieve sessies revoken, externe mailbox-forwarding blokkeren, verdachte OAuth-apps intrekken, wachtwoord-reset afdwingen. Hetzelfde proces dat normaal uren kost, gebeurt in seconden — voordat de aanvaller de doorstuurregel kan zetten.

Meer over FIXER

Voor IT-beheerders en MSP's: de volledige mapping tussen Attic-functionaliteit en de 19 maatregelen uit het NCSC technisch advies (gekoppeld aan 27 MITRE ATT&CK-technieken) leveren we op aanvraag. Plan een technisch gesprek →

Toon alle 27 ATT&CK-technieken
T1598T1672T1110.003T1539T1557T1566.002T1621T1078.004T1059T1204T1098.001T1556.006T1671T1068T1562.001T1564.008T1538T1534T1537T1566.003T1114.002T1114.003T1530T1078T1567T1656T1657

Vijf vragen die je nu aan je IT-dienstverlener moet stellen

De NCSC-publicatie noemt vijf concrete vragen waarmee je kunt toetsen of je MSP serieus werk maakt van BEC. Wij beantwoorden alle vijf met "ja, en zo doen we het".

1

"Hoe beschermen jullie ons tegen phishing en BEC-aanvallen?"

Vraag naar e-mailfilters, impersonatiebescherming en anti-spoofing.

2

"Monitoren jullie verdachte inlogpogingen?"

Een gestolen wachtwoord moet binnen minuten zichtbaar zijn, niet pas bij de eerstvolgende controle.

3

"Is phishing-resistente MFA ingeschakeld voor alle accounts?"

SMS-codes en standaard push-notificaties zijn niet meer voldoende. FIDO2 of Windows Hello wel.

4

"Hoe snel worden wij gewaarschuwd bij een incident?"

Bij BEC telt elke minuut. Vraag naar concrete responstijden, niet "best effort".

5

"Kunnen jullie ons helpen met awareness-training en testmails?"

Bewustwording staat of valt met regelmatige oefening, niet één jaarlijkse e-learning.

Krijg deze vragen beantwoord

De NCSC publicatie — open beschikbaar

Twee documenten, geen formulier. Een praktische handleiding voor de directie en een uitgewerkt technisch advies voor je IT-dienstverlener.

Praktische handvatten voor het mkb

Voor ondernemers, managers en bestuurders. Niet-technisch, direct toepasbaar. 15 pagina's met praktische tips, Nederlandse cases en de exacte rode vlaggen om op te letten.

PDF · 877 KB · april 2026 Download

Technisch advies (MITRE ATT&CK)

Voor IT-dienstverleners en MSSPs. Volledig maatregelenpakket per fase van de MITRE-keten, met prioriteit, impact en inspanning per maatregel. 21 pagina's, Microsoft 365 (Outlook) specifiek.

PDF · 637 KB · april 2026 Download

© Nationaal Cyber Security Centrum (NCSC), Ministerie van Justitie en Veiligheid. April 2026.
Tot stand gekomen via Cyclotron, met Attic Security, Orange Cyberdefense, Invictus en Tesorion.

Veelgestelde vragen over BEC

BEC is een vorm van oplichting waarbij criminelen zich voordoen als een vertrouwde persoon — meestal een directeur, collega of leverancier — om medewerkers tot betalingen of het delen van informatie te verleiden. Het is geen technische hack: criminelen misbruiken vertrouwen, autoriteit en tijdsdruk. BEC is volgens NCSC en de politie één van de duurste cyberdreigingen voor het Nederlandse mkb.
CEO-fraude is één variant van BEC, waarbij de aanvaller zich voordoet als directielid. BEC is breder en omvat ook factuurfraude (gewijzigd rekeningnummer op een echte factuur), leveranciersfraude (een "nieuwe bankrekening" van een vaste leverancier) en account takeover (het echte mailaccount wordt overgenomen via AiTM-phishing).
Vaak niet, of slechts gedeeltelijk. Veel polissen sluiten BEC uit als basismaatregelen zoals MFA ontbraken. Na een incident stijgen premies fors of wordt verlenging geweigerd. De bank vergoedt dit type fraude ook niet, omdat je zelf de betaling hebt goedgekeurd. Dit is precies de reden waarom preventie en snelle detectie zoveel belangrijker zijn dan herstel.
De FBI rapporteerde in 2024 een gemiddelde schade van € 118.000 per BEC-incident. In Nederland varieert dat van enkele tienduizenden euro's tot tientallen miljoenen — Pathé verloor in 2018 € 19,2 miljoen, en bij Elco in Helmond / Aarle-Rixtel leidde een verlies van € 771.760 tot het faillissement van het familiebedrijf.
Ja, binnen 72 uur, als een aanvaller toegang had tot mailboxen of persoonsgegevens. Deze meldplicht volgt uit de AVG. De AP beoordeelt vervolgens of betrokkenen geïnformeerd moeten worden. Naast de AP-melding is contact met [email protected] en aangifte bij de politie aan te raden. Het NCSC publiceert hierover specifieke richtlijnen voor incidentresponse en forensic readiness.
Vijf stappen, in deze volgorde: (1) Bel direct de bank om de betaling te stoppen of terug te halen. (2) Doe aangifte bij de politie via 0900-8844 of politie.nl. (3) Laat de mailboxen en Microsoft 365 controleren door je IT-dienstverlener of een forensisch expert — controleer mailbox-regels en doorstuurinstellingen. (4) Wijzig wachtwoorden van alle betrokken accounts en intrek actieve sessies. (5) Informeer mogelijke ontvangers van e-mails die de aanvaller vanuit jouw account heeft verstuurd. Hulp nodig? Onze incident-response draait 24/7.

Gerelateerde dreigingen

Onderdelen van de bredere BEC-aanvalsketen.

CEO-fraude

De klassieke BEC-variant: criminelen doen zich voor als de directie.

Adversary-in-the-Middle

De techniek waarmee accounts worden overgenomen voor BEC. Omzeilt MFA.

Phishing

Vrijwel elke BEC begint met phishing — de eerste stap in de aanvalsketen.

Incident Response

Hulp nodig nu? Direct contact met ons response-team, 24/7.

Bewustzijn is de basis. Detectie maakt het af.

Het NCSC sluit de publicatie af met: "De kern van bescherming tegen BEC zit niet in technologie, maar in mensen." Wij zijn het er deels mee eens — en hebben de technologie gebouwd voor het moment dat een mens een keer twijfelt.

Plan een BEC-demo Bekijk pricing