blog

Business email compromise en ceo-fraude verborgen kosten mkb

Geschreven door Joël van Houten | Aug 21, 2025 10:00:00 PM

Een e-mail van de directeur verschijnt in uw inbox. Het verzoek is dringend: een leverancier moet met spoed betaald worden, anders loopt een cruciaal project vertraging op. Het taalgebruik is correct, de afzender lijkt te kloppen. U wilt helpen en snel handelen.

Dit scenario is voor veel MKB-bedrijven de realiteit, maar dan met een verwoestende afloop. Dit is geen gewone e-mail; het is een geraffineerde aanval. Business Email Compromise (BEC) en CEO-fraude zijn geen abstracte risico’s meer. Volgens ABN AMRO werd één op de vier MKB-bedrijven in 2024 slachtoffer van een cyberaanval, met een gemiddelde schade van maar liefst €270.000.

De harde waarheid is dat aanvallers niet meer hoeven in te breken. Ze loggen gewoon in. Ze richten zich specifiek op het MKB vanwege de vaak minder formele processen en het grote onderlinge vertrouwen. In dit artikel duiken we diep in de tactieken van deze criminelen, de verborgen kosten die verder gaan dan alleen het factuurbedrag en de concrete stappen die u vandaag nog kunt zetten om uw Microsoft 365-omgeving te beschermen.

Anatomie van een aanval: zo gaan criminelen te werk in microsoft 365

Een succesvolle BEC-aanval verloopt zelden impulsief. Het is een zorgvuldig geplande operatie in drie fases, specifiek gericht op de kwetsbaarheden binnen uw organisatie en uw Microsoft 365-omgeving.

Fase 1: Verkenning en voorbereiding

Criminelen beginnen met een grondige verkenning. Ze doorzoeken openbare bronnen zoals uw bedrijfswebsite en LinkedIn-profielen om de hiërarchie, functies en zelfs de schrijfstijl van sleutelfiguren zoals de directeur of financieel manager te leren kennen. Ze zoeken naar informatie over projecten, leveranciers en belangrijke gebeurtenissen. Met deze kennis bouwen ze een geloofwaardig verhaal op.

Fase 2: Toegang verkrijgen tot de mailbox

De volgende stap is het binnendringen van uw Microsoft 365-omgeving. Ze gebruiken hiervoor steeds slimmere technieken:

  • Email Account Compromise (EAC): Vaak begint het met een simpele phishingmail waarin om inloggegevens wordt gevraagd. Omdat 9 op de 10 cyberaanvallen op identiteit zijn gericht, is het buitmaken van een wachtwoord vaak al genoeg.
  • Adversary-in-the-Middle (AiTM) Phishing: Dit is een geavanceerdere methode. Zelfs als u Multi-Factor Authenticatie (MFA) gebruikt, kunnen aanvallers via een valse inlogpagina niet alleen uw wachtwoord, maar ook de sessie-cookie stelen. Met deze cookie kunnen ze de MFA-beveiliging omzeilen en namens u inloggen.

Fase 3: Misbruik en manipulatie

Eenmaal binnen in een mailbox, gaan de aanvallers subtiel te werk. Microsoft meldt dat een complete BEC-aanval, van de eerste login tot de frauduleuze transactie, soms binnen twee uur kan plaatsvinden. Ze creëren bijvoorbeeld inboxregels die e-mails van bepaalde afzenders (zoals de boekhouding) direct doorsturen naar hun eigen adres en vervolgens verwijderen. Zo kunnen ze ongestoord meekijken, facturen onderscheppen en manipuleren zonder dat de gebruiker iets merkt. Vervolgens sturen ze namens de gecompromitteerde gebruiker de frauduleuze e-mail met het dringende betaalverzoek.

De verborgen kosten: meer dan alleen het verloren bedrag

De directe financiële schade van een geslaagde BEC-aanval is vaak het meest zichtbaar, met bedragen die kunnen oplopen tot tienduizenden euro’s. Maar de werkelijke impact is veel groter en dieper. De verborgen kosten kunnen een MKB-bedrijf nog jarenlang achtervolgen.

  • Directe financiële schade: Het overgemaakte geld dat u waarschijnlijk nooit meer terugziet. De Nederlandse politie schat dat tussen 2016 en 2018 al 64 miljoen euro werd buitgemaakt via deze methodes.
  • Indirecte financiële schade: Denk aan de kosten voor forensisch onderzoek om de omvang van de inbreuk vast te stellen, juridische kosten, en het productiviteitsverlies doordat uw team dagen of weken bezig is met de nasleep in plaats van hun eigenlijke werk.
  • Reputatieschade: Het vertrouwen van klanten, partners en leveranciers is geschaad. Een datalek of een succesvolle fraude kan uw imago ernstig beschadigen, wat leidt tot verlies van opdrachten en moeite met het aantrekken van nieuw talent.
  • Psychologische impact: De stress en het schuldgevoel bij de betrokken medewerker(s) zijn enorm. Dit kan leiden tot een daling van het moreel in het hele team en in het ergste geval zelfs tot ontslag of langdurig ziekteverzuim. Uit onderzoek blijkt dat 83% van het MKB niet is voorbereid op het financiële herstel na een aanval.

Herkenning en preventie: concrete stappen voor uw bedrijf

Hoewel de tactieken van criminelen steeds geavanceerder worden, bent u niet machteloos. Een effectieve verdediging rust op twee pijlers: de menselijke factor en robuuste technische maatregelen.

Pijler 1: De menselijke firewall

Bewustwording is de eerste verdedigingslinie. Train uw medewerkers, met name op de financiële administratie en directiesecretariaten, om de volgende rode vlaggen te herkennen:

  • Ongebruikelijk verzoek: Vraagt de directeur u ooit om via e-mail een spoedbetaling te doen zonder verdere context?
  • Gevoel van urgentie: Woorden als ‘dringend’, ‘vertrouwelijk’ of ‘nu meteen’ moeten alarmbellen doen rinkelen.
  • Afwijkend e-mailadres: Controleer de afzender zorgvuldig. Soms wordt een letter omgewisseld (rn in plaats van m) of wordt een ander domein gebruikt (.co in plaats van .nl).
  • Verandering in bankgegevens: Een leverancier die plotseling een nieuw rekeningnummer doorgeeft, is zeer verdacht.

De gouden regel is: verifieer via een tweede kanaal. Bel de afzender op een bekend telefoonnummer om het verzoek te controleren. Gebruik nooit de contactgegevens uit de verdachte e-mail zelf.

Pijler 2: Technische verdediging in Microsoft 365

Naast alertheid heeft u een solide technische basis nodig. Veel MKB-bedrijven gebruiken de standaardinstellingen van Microsoft 365, die vaak onvoldoende bescherming bieden.

  • Phishing-detectie: De eerste stap is het stoppen van phishingpogingen voordat een medewerker erop klikt. Een goede verdediging biedt realtime waarschuwingen bij het openen van een frauduleuze Microsoft 365 inlogpagina, een cruciale eerste verdedigingslinie die veel bedrijven missen.
  • Multi-Factor Authenticatie (MFA): Stel MFA in voor alle gebruikers. Kies voor een robuuste methode zoals een authenticator-app in plaats van sms, dat kwetsbaarder is.
  • Continue monitoring en hardening: Een veilige configuratie is geen eenmalige handeling. Het is essentieel om de beveiliging van uw Microsoft 365-omgeving continu te controleren en te verbeteren. U kunt dit handmatig doen, maar het is effectiever om het proces te automatiseren. Er zijn oplossingen beschikbaar die het mogelijk maken om geautomatiseerd de beveiliging van uw Microsoft 365 omgeving te versterken en hiaten te dichten zonder dat u een IT-expert hoeft te zijn.

Wat als het toch misgaat? een stappenplan voor incidentrespons

Snel en adequaat handelen na een incident kan de schade aanzienlijk beperken. Zorg dat iedereen weet wat te doen als er een vermoeden is van fraude.

  1. Direct handelen: Informeer onmiddellijk uw bank om te proberen de transactie te blokkeren. Isoleer het gecompromitteerde account door het wachtwoord direct te wijzigen en de gebruiker overal uit te loggen.
  2. Onderzoek starten: Probeer de bron en de omvang van de inbreuk vast te stellen. Welke data is mogelijk ingezien of gestolen? Welke inboxregels zijn aangemaakt? Voor een diepgaande analyse is vaak professionele hulp nodig. Diensten die continue monitoring en professionele analyse bieden, kunnen helpen de aanvalsketen te reconstrueren en te zorgen dat alle achterdeurtjes gesloten worden.
  3. Communiceren: Stel een duidelijk communicatieplan op. Informeer interne stakeholders en, afhankelijk van de situatie, ook externe partijen zoals klanten of de Autoriteit Persoonsgegevens.
  4. Aangifte doen: Doe altijd aangifte bij de politie. Dit helpt niet alleen uzelf, maar draagt ook bij aan een beter landelijk beeld van de dreiging.

Veelgestelde vragen over bec en ceo-fraude

Is multi-factor authenticatie (mfa) wel genoeg om ons te beschermen?

MFA is een cruciale basislaag, maar het is geen waterdichte garantie. Met geavanceerde AiTM-phishing kunnen aanvallers MFA omzeilen. Daarom is een gelaagde aanpak nodig, inclusief actieve monitoring van verdachte logins en het continu verharden van uw Microsoft 365-configuratie.

We zijn maar een klein bedrijf, waarom zouden ze ons kiezen?

Criminelen zien het MKB juist als een aantrekkelijk doelwit. De aanname is dat er minder IT-budget, minder expertise en minder formele controleprocessen zijn dan bij grote corporates. Dit maakt het voor hen eenvoudiger om succesvol te zijn. Uw bedrijf is dus zeker een doelwit.

Wat is het eerste dat we moeten doen als we een verdachte mail ontvangen?

Niet op reageren, niet op links klikken en geen bijlagen openen. Markeer de e-mail als phishing of ongewenst. Neem vervolgens via een ander kanaal (zoals de telefoon) contact op met de vermeende afzender om de legitimiteit van het verzoek te verifiëren.

Hoe kan ik als it-dienstverlener (msp) mijn klanten hiertegen beschermen?

Als MSP bent u een cruciale schakel in de verdediging. Het handmatig beveiligen en monitoren van tientallen Microsoft 365-omgevingen is echter complex en tijdrovend. Gelukkig zijn er tools die dit proces vereenvoudigen. Door gebruik te maken van een gecentraliseerd platform vereenvoudigt u het beveiligen van Microsoft 365 voor uw klanten en kunt u proactief hun beveiligingsniveau verhogen.

Bescherm uw bedrijf proactief tegen de duurste vorm van cyberfraude

Business Email Compromise en CEO-fraude zijn uitgegroeid tot een van de meest kostbare bedreigingen voor het MKB. De impact gaat veel verder dan een eenmalig financieel verlies en kan de continuïteit van uw bedrijf in gevaar brengen.

De sleutel tot weerbaarheid ligt in een combinatie van menselijke alertheid en slimme, geautomatiseerde technologie. Door uw team te trainen en tegelijkertijd uw Microsoft 365-omgeving proactief te versterken en te monitoren, bouwt u een verdediging die opgewassen is tegen de geraffineerde tactieken van vandaag. Wacht niet tot het te laat is. Neem vandaag nog de controle over uw digitale veiligheid.
Volledig bericht weergeven