CEO-fraude herkennen: zo bescherm je je KMO

Wat is CEO-fraude precies?

Een medewerker van de boekhouding ontvangt een e-mail van de zaakvoerder. Dringend. Vertrouwelijk. Er moet vandaag nog een betaling gebeuren naar een nieuwe leverancier. Het mailadres klopt. De toon klopt. De medewerker maakt het bedrag over.

Alleen was het niet de zaakvoerder.

CEO-fraude, internationaal bekend als Business Email Compromise (BEC), is een gerichte aanval op bedrijven. De crimineel doet zich voor als de CEO, CFO of een ander directielid en vraagt een medewerker om geld over te maken. Geen malware, geen technische inbraak. Puur manipulatie. Het CCB waarschuwt Belgische bedrijven hier al jaren actief voor.

Wereldwijd is BEC verantwoordelijk voor meer dan 2,7 miljard dollar aan verliezen per jaar, volgens de FBI. In België verloor de bank Crelan ooit 70 miljoen euro aan CEO-fraude. Dat is een extreem geval, maar ook kleinere bedrijven raken tienduizenden euro’s kwijt aan één frauduleuze overschrijving. Het gemiddelde schadebedrag bij een Belgische KMO ligt rond de 20.000 euro.

Het verschil met phishing: bij phishing vist de aanvaller breed, met duizenden e-mails tegelijk. CEO-fraude is gericht. De aanvaller kent je bedrijf, kent de namen, en richt zich op één specifieke medewerker met betaalbevoegdheid. Dat maakt het gevaarlijker en moeilijker te detecteren.

Zo werkt een aanval stap voor stap

CEO-fraude is geen impulsieve actie. Aanvallers bereiden zich weken voor.

1. Verkenning. De aanvaller zoekt online naar je bedrijf. LinkedIn-profielen, persberichten, de website. Wie is de zaakvoerder? Wie doet de boekhouding? Wie tekent facturen af?
2. Timing. De aanval komt op een strategisch moment: vrijdagmiddag, vlak voor de kerstvakantie, tijdens een beurs waar de zaakvoerder afwezig is. Minder kans op verificatie.
3. Contact. De medewerker ontvangt een e-mail (soms een telefoontje) van de “zaakvoerder”. Het mailadres lijkt correct maar verschilt in één karakter: een extra punt, een verwisselde letter, een ander domein.
4. Druk. Het verzoek is urgent en vertrouwelijk. “Dit is voor een overname, bespreek het met niemand.” “De betaling moet vandaag nog uit.”
5. Betaling. De medewerker voert de betaling uit. Het geld verdwijnt naar een buitenlandse rekening en wordt doorgesluisd. Terugvordering is bijna onmogelijk.

Herken de signalen

CEO-fraude volgt een patroon. Herken je drie of meer van deze signalen, dan is verificatie niet optioneel maar noodzakelijk:

• Urgentie. “Dit moet vandaag nog.” Echte betalingen kunnen een dag wachten.
• Geheimhouding. “Bespreek dit met niemand.” Legitieme verzoeken vereisen geen stilzwijgen.
• Afwijkend kanaal. De zaakvoerder mailt normaal nooit over betalingen. Nu wel.
• Nieuw rekeningnummer. Een betaling naar een rekening die je niet kent.
• Subtiele afwijking in het mailadres. naam@bedrijf.be vs naam@bedriijf.be. Eén letter verschil.
• Druk om procedures te omzeilen. “Doe het deze keer buiten het systeem om.”

Deepfakes en AI: de volgende fase

Tot voor kort was CEO-fraude vooral een e-mail-truc. Dat verandert. Aanvallers gebruiken nu AI om stemmen te klonen. Drie seconden helder audiomateriaal, uit een podcast, interview of bedrijfsvideo, is genoeg om een stem na te bootsen.

Er zijn al gevallen waarbij medewerkers een telefoontje kregen van hun “CEO” met het verzoek een betaling te doen. De stem klonk identiek. Internationaal zijn bedragen tot 25 miljoen dollar overgemaakt na deepfake-videogesprekken waarin meerdere directieleden werden nagebootst.

De consequentie voor KMO’s: een telefoontje alleen is niet langer voldoende verificatie. Combineer altijd: bel terug op een bekend nummer én bevestig via een tweede kanaal (sms, Teams, persoonlijk). Zorg er ook voor dat audio- en videomateriaal van de zaakvoerder niet onnodig publiek beschikbaar is. Elke podcast, elk webinar is potentieel bronmateriaal voor stemkloning.

Vijf maatregelen die werken

Geen enkele maatregel is waterdicht op zich. De combinatie maakt het verschil.

1. Dubbele goedkeuring voor betalingen. Elke betaling boven een drempel (stel: 2.500 euro) vereist goedkeuring van twee personen. Geen uitzonderingen, ook niet “voor de CEO”. Spreek dit af met je boekhouder en leg het schriftelijk vast. Het vierogenprincipe is de eenvoudigste en meest effectieve verdediging tegen CEO-fraude.

2. Terugbelverificatie op een bekend nummer. Bij een onverwacht betaalverzoek: bel de afzender terug op het nummer dat je al hebt, niet het nummer in de mail of het nummer dat in het gesprek wordt genoemd. Gebruik bij voorkeur een tweede kanaal: stuur een sms of Teams-bericht ter bevestiging.

3. Awareness-training. Train je team minstens twee keer per jaar. Safeonweb@Work biedt gratis materiaal specifiek over CEO-fraude. Besteed extra aandacht aan medewerkers met betaalbevoegdheid. Gebruik concrete scenario’s, geen abstracte presentaties. “Wat doe je als de zaakvoerder je mailt met een dringend betaalverzoek terwijl hij op vakantie is?”

4. Vastgelegde procedures voor rekeningwijzigingen. Verandert een leverancier van rekeningnummer? Verifieer altijd via een onafhankelijk kanaal. Bel het bedrijf op het nummer dat je al in je administratie hebt staan. Leg deze procedure vast zodat iedereen in het bedrijf weet hoe het werkt, ook tijdelijke medewerkers en stagiairs.

5. Maak melden veilig. Een medewerker die een verdacht verzoek meldt, verdient een compliment. Een medewerker die in een truc trapt, verdient ondersteuning. Bestraffing zorgt ervoor dat het volgende incident niet wordt gemeld. De meeste bedrijven die slachtoffer worden ontdekken het te laat, juist omdat medewerkers aarzelen om een fout toe te geven.

Dit artikel is informatief bedoeld en geen juridisch advies. Meer over social engineering-trucs en cyberaanvallen voorkomen lees je in onze andere gidsen. Bij een vermoeden van fraude: bel je bank, meld bij CERT.be en doe aangifte bij de lokale politie.