Business Email Compromise: een snelgroeiende vorm van digitale fraude met grote impact
Groeiende vorm van digitale oplichting
Deelnemers van Cyclotron zien een toename in het aantal Business Email Compromise (BEC) incidenten. Op basis van hun waarnemingen is BEC uitgegroeid tot een van de snelst toenemende vormen van digitale fraude. Ook internationaal is de impact aanzienlijk. De Amerikaanse FBI rapporteerde in het IC3 (Internet Crime Report) over 2024 een totaalverlies van 2,77 miljard dollar als gevolg van BEC fraude. BEC richt zich op het misbruiken van bestaande relaties en vertrouwensbanden binnen en tussen organisaties. Juist dit maakt BEC zo’n hardnekkige dreiging: de aanvaller doet zich voor als een vertrouwde afzender, waardoor frauduleuze verzoeken nauwelijks te onderscheiden zijn van legitieme communicatie.
“We zien regelmatig dat organisaties pas bij ons aankloppen nadat er al een aanzienlijke schade is ontstaan. In sommige gevallen liep het verlies op van €750.000 tot meer dan €4 miljoen.”
Dit product is ontwikkeld binnen het programma Cyclotron. De kern van Cyclotron is het in publiek-privaat verband verzamelen, duiden en delen van dreigingsinformatie tussen publieke en private organisaties, zodat patronen sneller zichtbaar worden en organisaties effectiever kunnen handelen tegen actuele cyberdreigingen.
Deze publicatie is tot stand gekomen in samenwerking met verschillende partners, die hun expertise en praktijkervaring hebben ingebracht om een beeld te schetsen van Business Email Compromise gevallen in Nederland.
Wat is Business Email Compromise?
Bij Business Email Compromise doen criminelen zich voor als een persoon die binnen een organisatie wordt vertrouwd - vaak een directeur of leidinggevende (CEO-fraude), maar ook een collega, leverancier (Factuurfraude) of klant. De werkwijze is vaak hetzelfde: via misleiding vertrouwelijke gegevens proberen te bemachtigen. Het doel van de criminelen kan verschillen, denk aan het aanpassen van rekeningnummers, het verkrijgen van inloggegevens, het buitmaken van gevoelige informatie of het inzetten van gehackte accounts voor nieuwe phishingcampagnes.
De kracht van BEC zit niet in technische complexiteit, maar in het misbruiken van sociale beïnvloedingsprincipes. BEC-fraudeurs maken slim gebruik van (subtiele) sociale druk, denk bijvoorbeeld aan het inspelen op schaarste door een gevoel van urgentie te creëren (‘’dit moet vandaag’’), het benutten van wederkerigheid door eerst vertrouwen op te bouwen of kleine gunsten te vragen, of het leunen op een autoriteit (de directeur of leidinggevende). Het succes van de aanval gaat hierbij hand in hand met hoe goed de aanvaller de interne processen en gewoontes van het slachtoffer begrijpt.
BEC in de praktijk: “Het leek zo echt”
Een medewerker van een middelgroot bedrijf ontving een ogenschijnlijk normale e-mail van de directeur met het verzoek om een betaling van 45.000 euro uit te voeren. Alles in het bericht klopte: de toon, de timing, de verwijzingen naar lopende projecten. Pas dagen later bleek dat de directeur het bericht nooit had verstuurd. Aanvallers hadden eerder toegang gekregen tot de mailbox van een medewerker en konden zo meelezen met interne communicatie. Het geld bleek via het buitenland te zijn weggesluisd en was onherroepelijk verdwenen.
“Als de afgelopen 10 jaar incident response ons iets hebben geleerd, is het dat BEC-incidenten niet zullen verdwijnen. Aanvallers evolueren, en organisaties moeten zich continu blijven ontwikkelen om weerbaar te zijn tegen deze steeds veranderende aanvalstechnieken.”
Hoe BEC-aanvallen verlopen
In de praktijk zien we dat veel BEC aanvallen niet direct gericht beginnen, maar voortkomen uit grootschalige phishingcampagnes. Organisaties ontvangen massaal ogenschijnlijk neutrale berichten, zoals een melding dat er een document is gedeeld, die leiden naar een phishingpagina. Zodra een aanvaller via deze weg toegang krijgt tot één of meerdere accounts, begint de gerichte fase van de aanval. De aanvaller analyseert mailboxen, communicatiepatronen en rollen binnen de organisatie om de meest interessante slachtoffers te selecteren. Daarna volgt de klassieke BEC-werkwijze, waarbij met een nagemaakt domein of een gecompromitteerd e mailaccount geloofwaardige berichten worden verstuurd die naadloos aansluiten op bestaande communicatie, inclusief gekopieerde handtekeningen en logo’s. Deze berichten bevatten vaak een dringend verzoek dat zonder overleg moet worden afgehandeld en sterk lijkt op normale bedrijfscommunicatie. Zodra het slachtoffer handelt, wordt geld direct weggesluisd of worden gegevens misbruikt voor verdere fraude.
Waarom elk bedrijf kwetsbaar kan zijn
BEC treft organisaties van klein tot groot, maar het MKB blijkt bijzonder kwetsbaar. Korte communicatielijnen, informele besluitvorming en minder strikt gescheiden rollen maken het voor criminelen eenvoudiger om misbruik te maken van vertrouwen. Zelfs wanneer een aanvaller geen kans ziet op direct financieel gewin, kan misbruik van een gehackte mailbox leiden tot aanzienlijke reputatieschade.
Signalen van BEC: wanneer alert worden?
Veel BEC-pogingen vertonen herkenbare signalen. Berichten die urgentie benadrukken, verzoeken die vertrouwelijkheid vragen of onverwachte wijzigingen in betalingsgegevens zijn duidelijke waarschuwingssignalen. Ook het delen van documenten via platforms zoals SharePoint - vaak voorzien van een link naar een nagemaakte inlogpagina - wordt steeds vaker ingezet. Tijdens drukke periodes of bij hoge werkdruk is de kans groter dat medewerkers deze signalen missen, aanvallers buiten dit bewust uit.
De rol van Managed (Security) Service Provider
Veel MKB-bedrijven vertrouwen op hun Managed (Security) Service Provider voor het beheren van hun IT-omgeving. Dit maakt het belangrijk om gericht in gesprek te gaan met deze dienstverleners over hun maatregelen tegen BEC. Vraag jouw dienstverlener bijvoorbeeld eens hoe het zit met de implementatie van impersonatiebescherming, de monitoring van verdachte logins, de aanpak van OAuth-apps, en het uitschakelen van legacy authentication. Ook de snelheid en kwaliteit van incidentmelding en goede bescherming tegen spoofing (goede e-mailconfiguratie) kan cruciaal zijn voor effectieve bescherming.
Bescherming door gedrag
Naast de nodige technische maatregelen is het in het geval van BEC belangrijk om aandacht te besteden aan je laatste verdedigingslinie: de mens. Het bevorderen van digitaal veilig gedrag gaat verder dan traditionele e-learnings of generieke bewustwordingscampagnes. Zoals beschreven in de NCSC-publicatie Voorbij de e-learning, vraagt echte gedragsverandering om een structurele aanpak die risico’s meet, maatwerk biedt en volledig is ingebed in de organisatiecultuur. Voor organisaties die nog niet klaar zijn voor brede gedragsprogramma’s zijn er al wél praktische stappen mogelijk. Het vierogenprincipe bij betalingen voorkomt bijvoorbeeld dat één medewerker onder druk schadelijke beslissingen kan nemen. Het telefonisch verifiëren van wijzigingen in bankrekeningnummers is een andere eenvoudige maar zeer effectieve controle. Heldere richtlijnen over hoe te handelen bij twijfel helpen medewerkers om veilig te werken, ook een meldcultuur - waarin verdachte e-mails direct met IT of security worden gedeeld - draagt sterk bij aan de weerbaarheid van de gehele organisatie.
Slachtoffer? Meld het!
Als een organisatie slachtoffer wordt van BEC-fraude, en er toegang is geweest tot mailboxen of persoonsgegevens, is een melding bij de Autoriteit Persoonsgegevens vaak verplicht. Zo’n melding helpt niet alleen bij het voldoen aan wettelijke vereisten, maar draagt ook bij aan het bredere beeld van digitale dreigingen in Nederland. Hoe sneller incidenten worden gemeld, hoe effectiever nieuwe aanvallen kunnen worden herkend en gestopt.