Business Email Compromise (BEC): één e-mail, grote gevolgen

Business Email Compromise (BEC) is een vorm van cyberfraude waarbij criminelen e-mail gebruiken om medewerkers te manipuleren. In plaats van systemen te hacken met malware of via technische kwetsbaarheden, richten aanvallers zich op menselijk gedrag en vertrouwen. 

De aanvaller doet zich voor als een betrouwbare afzender, bijvoorbeeld een manager, collega, leverancier of zakenpartner. Deze probeert de ontvanger te overtuigen om zelf een actie uit te voeren. Denk aan het overmaken van geld, het wijzigen van bankgegevens of het delen van vertrouwelijke informatie. Juist omdat de e-mail vaak geen verdachte links of bijlagen bevat, wordt een BEC-aanval minder snel herkend dan traditionele phishing. 

Lees verder: Hoe ondernemer Bram Bertels zijn bedrijf veilig maakt.

Een BEC-aanval ontstaat meestal niet spontaan. Cybercriminelen bereiden zich zorgvuldig voor en nemen soms weken of maanden de tijd. 

1 Verkenning - Aanvallers verzamelen informatie over de organisatie via openbare bronnen zoals websites en sociale media (zoals LinkedIn). Ze leren wie beslissingen neemt, hoe teams samenwerken en welke leveranciers worden gebruikt. 

2 Toegang of imitatie - Daarna kiezen ze een methode: een e-mailadres maken dat sterk lijkt op een bestaand adres. Of: een mailbox overnemen via gestolen wachtwoorden. Ook komt het voor dat criminelen zich voordoen als een externe partner of leverancier.

Wanneer een echte mailbox wordt misbruikt, wordt de aanval extra geloofwaardig omdat eerdere e-mails zichtbaar zijn. 

3 Vertrouwen opbouwen - Soms sturen aanvallers eerst onschuldige berichten om een gesprek op gang te brengen. Ze wachten bewust op een moment waarop een verzoek logisch lijkt, bijvoorbeeld rond facturatie, deadlines of vakanties. 

4 De frauduleuze actie - Uiteindelijk volgt het doel: een betaling, wijziging van bankgegevens of het delen van informatie. Het bericht bevat vaak urgentie of vertrouwelijkheid om snelle actie uit te lokken. 

Veel mensen denken dat cyberaanvallen vooral IT-afdelingen raken, maar in werkelijkheid kiezen aanvallers juist vaak medewerkers die dagelijks beslissingen nemen of processen uitvoeren. Financiële administratie, HR, managementondersteuning en projectleiders zijn daarom vaak doelwit. Maar in feite kan iedere medewerker benaderd worden. Aanvallers weten dat organisaties draaien op vertrouwen en efficiëntie. Ze gebruiken echte namen, correcte functietitels en realistische situaties. Daardoor voelt de e-mail als onderdeel van het normale werk. 

Cybersecurity zakelijk bekeken: 'Cybersecurity: bedrijfseconomisch essentieel voor elke mkb’er'

Een BEC-aanval voelt zelden verdacht. Integendeel: het bericht lijkt juist professioneel en logisch. U kunt bijvoorbeeld ontvangen: 

• een spoedbetaling namens de directie 
• nieuwe bankgegevens van een leverancier 
• een verzoek om personeelsinformatie 
• een bericht vanuit een bestaande e-mailconversatie 
• een collega die vraagt om documenten “snel even door te sturen” 

Vaak zit er subtiele druk achter: “Vandaag regelen”, “Alleen jij kunt dit doen”, of “Graag discreet houden.” Dat is geen toeval. Urgentie vermindert de kans dat iemand het verzoek controleert. 

BEC heeft niet zozeer te maken met onoplettendheid. Juist betrokken en professionele medewerkers lopen een verhoogd risico. We zijn gewend om: 

• snel te reageren
• collega’s te helpen
• verantwoordelijkheid te nemen
• leidinggevenden te ondersteunen

Aanvallers misbruiken precies die professionele kwaliteiten. De aanval werkt omdat hij aansluit bij normaal gedrag. De grootste kwetsbaarheid in cybersecurity is daarom geen technologie, maar vertrouwen zonder verificatie. 

Wat kunt ú doen? 'Video: ondernemer test de Security Scan en dit is wat hij ontdekt'

BEC-aanvallen verraden zich vaak niet door grote fouten, maar door kleine signalen: 

• een onverwacht financieel verzoek 
• tijdsdruk zonder duidelijke reden 
• een lichte afwijking in het e-mailadres 
• een verzoek om vertrouwelijkheid 
• een proces dat ineens anders moet verlopen 

Het belangrijkste alarmsignaal is vaak je intuïtie: “Dit voelt net even anders.”Dat moment van twijfel is geen hinder. Het is bescherming. 

Cybersecurity hoeft niet ingewikkeld te zijn. Een paar eenvoudige acties maken het verschil: 

Stop - Reageer niet direct op urgentie. 

Denk - Past dit verzoek binnen normale afspraken? 

Controleer - Bel de afzender via een bekend nummer

Meld - Informeer uw afdeling IT of Security (of de medewerkers die in uw mkb-bedrijf met deze taken is belast) bij twijfel.  

Controleren is geen wantrouwen. Het is professioneel handelen. Samen met uw medewerkers maakt houdt u uw organisatie veilig. 

Interessant: 'Video: waarom zijn medewerkers zo belangrijk voor cybersecurity?'