Miljoenschade door opmars Business Email Compromise
Business Email Compromise (BEC) is uitgegroeid tot een van de snelst groeiende en meest schadelijke vormen van digitale fraude. Waar de FBI over 2024 al een recordverlies van 2,77 miljard dollar rapporteerde, waarschuwen Nederlandse experts nu voor de enorme impact op lokale organisaties. In sommige gevallen loopt de schade per incident op tot meer dan 4 miljoen euro.
Bij BEC-fraude maken criminelen geen gebruik van complexe technische hacks, maar van psychologische misleiding. Ze doen zich voor als een vertrouwde relatie, zoals een directeur (CEO-fraude), een leverancier of een collega. Door in te spelen op autoriteit en urgentie ("dit moet vandaag nog betaald worden"), worden medewerkers verleid om grote bedragen over te maken naar frauduleuze rekeningen zo meldt het NCSC.
Van phishing naar gerichte aanval
Deelnemers van het samenwerkingsverband Cyclotron zien een duidelijke trend in de werkwijze van aanvallers. Vaak begint een aanval met een algemene phishingmail om inloggegevens te stelen. Zodra de crimineel toegang heeft tot een mailbox, volgt een observatiefase. De aanvaller analyseert wekenlang de communicatiestijl, lopende projecten en factuurpatronen.
"Het lijkt vaak zo echt omdat de aanvaller letterlijk meekijkt in de mailbox," stelt Bas van Wingerden van Fox-IT. Hierdoor zijn de uiteindelijke fraudeverzoeken, inclusief gekopieerde handtekeningen en juiste timing, bijna niet van echt te onderscheiden.
Kwetsbaarheid van het MKB
Hoewel grote corporaties ook doelwit zijn, blijkt het midden- en kleinbedrijf (MKB) extra kwetsbaar. Door korte communicatielijnen en een informele bedrijfscultuur wordt er vaker vertrouwd op een enkel bericht, zonder aanvullende controle. Volgens experts van Invictus Incident Response zal deze dreiging niet verdwijnen, maar juist verder evolueren.
Preventie: techniek én gedrag
Om organisaties te wapenen tegen deze hardnekkige fraude, is een tweeledige aanpak noodzakelijk:
- Technische barrières: Managed Service Providers (MSP's) moeten strikte maatregelen implementeren, zoals impersonatiebescherming, het uitschakelen van verouderde authenticatie en het monitoren van verdachte logins.
- Gedragsverandering: De mens is de laatste verdedigingslinie. Het hanteren van een vierogenprincipe bij betalingen en het telefonisch verifiëren van gewijzigde bankrekeningnummers zijn eenvoudige maar effectieve methoden om miljoenenverliezen te voorkomen.
Bedrijven die onverhoopt toch slachtoffer worden, worden dringend geadviseerd dit direct te melden. Dit is niet alleen vaak wettelijk verplicht bij de Autoriteit Persoonsgegevens, maar helpt ook om de werkwijze van fraudeurs sneller in kaart te brengen en anderen te waarschuwen.
Meer over cybercrime
Over Witold Kepinski
