CEO Fraude (BEC)
De duurste cyberdreiging voor het MKB
CEO fraude, internationaal bekend als Business Email Compromise (BEC), kost organisaties wereldwijd miljarden per jaar. Criminelen doen zich voor als directieleden om medewerkers te verleiden tot urgente betalingen. Bij de meest geavanceerde aanvallen is het e-mailaccount daadwerkelijk overgenomen via een AiTM-aanval.
CEO fraude in cijfers
1 op 4
MKB-bedrijven in Nederland was in 2024 slachtoffer van cybercriminaliteit, waarvan BEC de meest voorkomende vorm is.
€19 mln
Verlies van bioscoopketen Pathé door één CEO-fraudezaak in 2018. Het bekendste Nederlandse voorbeeld.
$2,9 mrd
Gerapporteerde BEC-schade in de VS in 2023 (FBI IC3). Dit zijn alleen de gemelde gevallen.
Wat is CEO fraude?
CEO fraude (ook wel directeurenfraude, whaling of BEC-fraude) is een gerichte vorm van oplichting waarbij criminelen zich voordoen als een directielid van je organisatie. Het doel is bijna altijd financieel: medewerkers overhalen om geld over te maken naar een rekening van de aanvaller, of vertrouwelijke gegevens te delen.
In tegenstelling tot breedgeschaalde phishing is CEO fraude zeer gericht. Aanvallers investeren dagen tot weken in het bestuderen van de organisatie: wie is de CEO, wie gaat over betalingen, welke toon wordt er in e-mails gebruikt. Bij de meest geavanceerde variant wordt het e-mailaccount van de CEO daadwerkelijk overgenomen via een Adversary-in-the-Middle aanval. In dat geval komt het frauduleuze bericht letterlijk vanuit het echte mailadres.
CEO fraude valt onder de bredere categorie Business Email Compromise (BEC). Het NCSC en de politie gebruiken beide termen, maar BEC omvat ook varianten zoals factuurfraude en salarisfraude. Gemeenschappelijk is dat alle vormen vertrouwen op het manipuleren van menselijk vertrouwen via e-mail.
Vormen van CEO fraude en BEC
BEC is niet één aanval maar een familie van technieken. Dit zijn de meest voorkomende varianten:
CEO-imitatie (klassiek)
De aanvaller doet zich voor als de CEO en vraagt een financieel medewerker om een dringende betaling. Vaak met nadruk op geheimhouding en tijdsdruk.
Factuurfraude (leveranciersfraude)
Criminelen onderscheppen facturen van een leverancier en wijzigen het bankrekeningnummer. De betaling gaat naar de aanvaller in plaats van de leverancier.
Account takeover
Het e-mailaccount wordt daadwerkelijk overgenomen, meestal via AiTM-phishing. De aanvaller verstuurt berichten vanuit het echte mailadres. Vrijwel onmogelijk te detecteren voor de ontvanger.
Salarisfraude
Een medewerker “vraagt” HR om het bankrekeningnummer voor salaris te wijzigen. Het salaris wordt vervolgens naar de aanvaller overgemaakt.
AI en deepfakes
Aanvallers gebruiken AI-gegenereerde stemklonen of deepfake-video om telefonische verificatie te omzeilen. Een groeiende dreiging die traditionele dubbelchecks ondermijnt.
Data-diefstal
Niet altijd financieel gemotiveerd. HR-afdelingen worden benaderd met verzoeken om personeelsgegevens, BSN-nummers of belastinginformatie te delen.
Hoe werkt een CEO fraude-aanval?
CEO fraude varieert van opportunistische spam tot maandenlang voorbereide, gerichte aanvallen. Bij de meest geavanceerde vorm infiltreren criminelen het netwerk en versturen het betalingsverzoek vanuit het echte e-mailadres van de CEO.
- 1
Verkenning
Criminelen onderzoeken de organisatie via LinkedIn, KvK, de website en social media. Ze identificeren de CEO, CFO en financieel medewerkers, en leren de communicatiestijl kennen.
- 2
Imitatie of account overname
De aanvaller registreert een look-alike domein (bijv. attic-security.com i.p.v. atticsecurity.com) of neemt het echte account over via AiTM-phishing. Beide methoden leiden tot overtuigende berichten.
- 3
Het verzoek
Een urgent, vertrouwelijk betalingsverzoek wordt verstuurd, vaak vlak voor het weekend of tijdens vakantie. De boodschap benadrukt geheimhouding en tijdsdruk.
- 4
Betaling en verdwijning
Het geld wordt overgemaakt naar een rekening van de aanvaller, vaak in het buitenland. Binnen uren wordt het doorgesluisd. Terugboeken is dan vrijwel onmogelijk.
Hoe herken je CEO fraude?
CEO fraude leunt op urgentie, vertrouwen en geheimhouding. Herken deze signalen voordat je actie onderneemt:
Onverwacht betalingsverzoek van een directielid
Zeker als het via een nieuw e-mailadres komt of je normaal geen betalingsopdrachten ontvangt van deze persoon.
Hoge urgentie en tijdsdruk
“Dit moet vandaag nog geregeld zijn”, vaak vlak voor het weekend, een feestdag of tijdens de vakantie van de CEO.
Verzoek om geheimhouding
“Vertel dit nog even aan niemand” of “Dit is strikt vertrouwelijk”. Bedoeld om verificatie te voorkomen.
Afwijkend e-mailadres
Subtiele fouten in het domein (atticsecurity.nl vs. attic-security.nl) of een privé-mailadres “omdat de zakelijke mail niet werkt”.
Onbekende of buitenlandse bankrekening
De betaling moet naar een rekening die je niet kent, vaak op een ongebruikelijke locatie.
Hoe bescherm je je organisatie tegen CEO fraude?
Effectieve bescherming combineert organisatorische procedures met technische maatregelen. Alleen bewustwording is niet genoeg. Je hebt ook detectie nodig.
Verificatieprocedures
Elke betaling boven een bepaald bedrag vereist telefonische verificatie via een vooraf bekend nummer. Nooit het nummer uit de e-mail gebruiken.
AiTM-bescherming
Voorkom account overname door Attic FREE te installeren. De browser-extensie blokkeert nep-inlogpagina's die worden gebruikt om sessie-cookies te stelen.
Continue monitoring
Detecteer verdachte inlogactiviteiten, ongebruikelijke mailbox-regels en doorstuurinstellingen in realtime. Attic MDR bewaakt je Microsoft 365 24/7.
M365-hardening
Blokkeer auto-forwarding naar externe adressen, schakel audit logging in en configureer DMARC/SPF/DKIM. Attic Fixer controleert dit automatisch.
Slachtoffer van CEO fraude? Dit moet je doen
Hoe sneller je handelt, hoe groter de kans dat de schade beperkt blijft. Volg deze stappen onmiddellijk:
- 1
Bel direct je bank
Vraag om de betaling te blokkeren of terug te draaien. Bij internationale overschrijvingen kan dit soms nog tot 24 uur na de transactie.
- 2
Doe aangifte bij de politie
CEO fraude is een strafbaar feit. Aangifte is belangrijk voor eventuele verzekeringsschade en helpt de politie bij het opsporen van criminele netwerken.
- 3
Meld het bij de Fraudehelpdesk
Meld de fraude op fraudehelpdesk.nl. Dit helpt bij het waarschuwen van andere organisaties en het in kaart brengen van fraude-patronen.
- 4
Schakel een security specialist in
CEO fraude wijst er vaak op dat het netwerk of e-mailaccount gecompromitteerd is. Zonder onderzoek loop je risico op vervolgaanvallen. Plan een gesprek met ons team.
- 5
Bewaar alle bewijsmateriaal
Verwijder geen e-mails, chatberichten of logbestanden. Controleer de Microsoft 365 mailbox-regels op verdachte doorstuurinstellingen.
Hoe Attic je beschermt tegen CEO fraude
Attic monitort continu op verdachte activiteiten en gecompromitteerde accounts in je Microsoft 365-omgeving. Zo detecteren we CEO fraude voordat de schade is aangericht.
Bescherming tegen phishing
Blokkeer de eerste stap van CEO fraude: AiTM-phishing die inloggegevens en sessie-cookies steelt. Attic Free waarschuwt medewerkers voordat ze op een nep-inlogpagina inloggen.
Meer over FREEDetectie van verdachte inlogactiviteiten
Attic Bouncer detecteert wanneer een account wordt overgenomen, bijvoorbeeld door een ongebruikelijke locatie of apparaat. Zo voorkom je dat aanvallers e-mails versturen namens de CEO.
Meer over BOUNCERBeveilig je Microsoft 365-configuratie
Attic Fixer controleert dagelijks of auto-forwarding geblokkeerd is, audit logging aanstaat, en DMARC/SPF/DKIM correct is geconfigureerd. Verminder het aanvalsoppervlak met één klik.
Meer over FIXERVeelgestelde vragen over CEO fraude
Gerelateerde dreigingen
Voorkom CEO fraude. Begin vandaag
Wacht niet tot het te laat is. Bescherm je organisatie met automatische monitoring en detectie van verdachte activiteiten in Microsoft 365.