Business Email Compromise (BEC) is een van de financieel meest schadelijke cyberaanvallen waarmee een organisatie te maken kan krijgen, en tegelijkertijd een van de minst begrepen. In tegenstelling tot ransomware, die zich luidruchtig laat gelden, werkt BEC in stilte, vaak weken of maandenlang, waarbij het vertrouwen in plaats van technologie wordt misbruikt om geld en gegevens te stelen.
Volgens het Kaseya State of the MSP-rapport uit 2026 geeft 44% van de MSP’s aan dat ten minste 10% van hun klanten in 2025 te maken heeft gehad met een cyberaanval, en BEC is steevast een van de meest voorkomende en kostbare soorten aanvallen die aan deze incidenten ten grondslag liggen.
Het Internet Crime Complaint Center (IC3) van de FBI rangschikt BEC steevast als een van de duurste categorieën cybercriminaliteit. De FBI heeft haar BEC-advies de titel „The $55 Billion Scam“ gegeven, een verwijzing naar de cumulatieve wereldwijde verliezen tussen oktober 2013 en december 2023. In 2024 leidden BEC-klachten alleen al in de VS tot 2,77 miljard dollar aan gecorrigeerde verliezen, verdeeld over 21.442 gemelde incidenten. De aanval werkt omdat hij bedrieglijk eenvoudig is: geen malware, geen versleuteling, geen technische exploit, alleen een overtuigende e-mail van iemand die je vertrouwt.
Voorkom BEC-aanvallen voordat ze u geld kosten
Kaseya INKY elke e-mail aan de hand van de communicatiepatronen van uw organisatie en signaleert pogingen tot identiteitsfraude en afwijkende verzoeken die traditionele filters omzeilen.
Wat is Business Email Compromise?
BEC is een vorm van fraude waarbij een cybercrimineel gebruikmaakt van een legitiem ogende e-mail – afkomstig van een gehackt account, een vervalst domein of een contactpersoon die zich voordoet als iemand anders – om iemand met financiële of gegevensbevoegdheden te misleiden en tot een schadelijke handeling te bewegen. Die handeling bestaat meestal uit een frauduleuze betaling, het doorgeven van gevoelige gegevens of het vrijgeven van inloggegevens die verdere toegang mogelijk maken.
Wat BEC onderscheidt van gewone phishing, zijn de doelgroep en het doel. Bij massale phishing wordt breed uitgekeken naar inloggegevens. BEC richt zich op specifieke personen binnen een bepaalde organisatie en is bedoeld om direct financieel gewin te genereren, meestal in de vorm van een overschrijving, de aankoop van cadeaubonnen, het omleiden van salarisbetalingen of het wijzigen van betaalrekeninggegevens.
BEC wordt soms ook wel Email Account Compromise (EAC) genoemd wanneer de aanval gepaard gaat met daadwerkelijke misbruik van een echt account, in plaats van spoofing of identiteitsfraude. Beide termen verwijzen naar dezelfde categorie bedreigingen en hetzelfde financiële risico.
Hoe BEC-aanvallen werken
BEC-aanvallen volgen een gestructureerde aanpak. Aanvallers doen eerst onderzoek naar de doelorganisatie en brengen via LinkedIn, bedrijfswebsites en sociale media de belangrijkste medewerkers in de financiële afdeling, de boekhouding, HR en het topmanagement in kaart. Ze brengen de onderlinge relaties in kaart: wie rapporteert aan wie, wie keurt betalingen goed en wie heeft de bevoegdheid om betalingsgegevens te wijzigen.
De eerste toegang kan worden verkregen via phishing, waarbij een echt e-mailaccount wordt gehackt, of via domeinspoofing, waarbij een e-mailadres wordt aangemaakt dat visueel lijkt op het echte adres (bijvoorbeeld [email protected] in plaats van [email protected]). Zodra ze toegang hebben tot een legitiem account, houden aanvallers de e-mail vaak wekenlang onopgemerkt in de gaten om inzicht te krijgen in communicatiepatronen, lopende zaken en de schrijfstijl van de persoon wiens identiteit ze aannemen, voordat ze de fraude in gang zetten.
De aanval zelf bestaat vaak uit één enkele, goed getimede e-mail: „Kunt u de bankgegevens voor de factuur van Smith aanpassen naar de volgende gegevens?” of „Kunt u met spoed een overschrijving regelen voor deze overname? Ik zit de hele dag in vergaderingen.” De combinatie van schijnbare autoriteit, urgentie en een specifieke context maakt het verzoek geloofwaardig. De tijd tussen het versturen van de e-mail en het ontdekken van de fraude is vaak lang genoeg om het geld onherroepelijk over te maken.
De vijf BEC-scenario's
De FBI onderscheidt vijf belangrijke soorten BEC-aanvallen:
Bij CEO-fraude doet iemand zich voor als een leidinggevende om een medewerker onder druk te zetten om een frauduleuze overboeking te doen of vertrouwelijke informatie vrij te geven. Het verzoek komt meestal binnen wanneer de leidinggevende op reis is of om een andere reden niet beschikbaar is om de authenticiteit te controleren.
Bij accountmisbruik wordt een zakelijk e-mailaccount daadwerkelijk misbruikt om frauduleuze betalingen te vragen aan leveranciers of klanten van de eigenaar van dat account. In tegenstelling tot identiteitsfraude is de e-mail in dit geval daadwerkelijk afkomstig van het echte account.
Bij deze zwendel met valse facturen doet men zich voor als een verkoper of leverancier en vraagt men om betaling op een nieuwe bankrekening, waarbij een verwachte, echte betaling wordt onderschept.
Bij het zich voordoen als advocaat doet men zich voor als juridisch adviseur om vertrouwelijke informatie of een spoedige betaling te eisen in verband met een lopende rechtszaak, waarbij misbruik wordt gemaakt van de machtsverhouding binnen de juridische relatie.
Bij gegevensdiefstal worden de afdelingen HR of financiën aangevallen om de belastinggegevens van werknemers, salarisinformatie of persoonsgegevens te bemachtigen. Dit is vaak een opstapje naar verdere fraude of identiteitsdiefstal, en niet zozeer bedoeld voor een directe geldtransactie.
Waarom BEC zo moeilijk op te sporen is
BEC omzeilt de meeste traditionele beveiligingsmaatregelen omdat het gebruikmaakt van social engineering in plaats van malware. E-mailbeveiligingsfilters signaleren geen berichten die afkomstig zijn van een legitiem, gehackt account. Er is geen bijlage of schadelijke link die de endpointbeveiliging activeert. De communicatie ziet er in alle technische opzichten uit als een normale zakelijke e-mail.
De uitdaging bij het opsporen ligt op het vlak van gedrag: herkennen dat een verzoek niet strookt met het normale bedrijfsproces, dat de urgentie ongebruikelijk is, of dat een wijziging in een betalingsopdracht via een atypisch kanaal binnenkomt. Dit zijn menselijke beoordelingen, geen technische, en daarom blijft BEC zelfs in technisch geavanceerde omgevingen effectief.
Door AI-ondersteunde BEC wordt dit steeds moeilijker. Aanvallers maken nu gebruik van AI om berichten te genereren die de schrijfstijl van een persoon nauwkeurig nabootsen, waarbij ze putten uit de feitelijke context van gemonitorde e-mailconversaties. De aanwijzingen die een oplettende lezer vroeger misschien nog had opgemerkt – zoals enigszins ongebruikelijke formuleringen of algemeen taalgebruik – ontbreken steeds vaker in moderne BEC-pogingen.
Hoe u zich tegen BEC kunt beschermen
E-mailverificatie. DMARC-, DKIM- en SPF-beleidsregels voorkomen domeinspoofing. Een DMARC-beleid dat is ingesteld op ‘weigeren’ voorkomt dat aanvallers e-mails versturen die lijken te zijn afkomstig van uw domein. Dit pakt de ‘impersonation’-vector aan, maar niet de ‘account compromise’-vector; daarom zijn gelaagde beveiligingsmaatregelen noodzakelijk.
E-mailbeveiliging op basis van AI. Oplossingen zoals Inky, die deel uitmaken van Kaseya 365 , maken gebruik van AI om patronen in e-mailcommunicatie te analyseren en afwijkingen te signaleren: berichten van nieuwe afzenders die beweren leidinggevende bevoegdheden te hebben, verzoeken die afwijken van normale communicatiepatronen, of kenmerken die overeenkomen met bekende BEC-profielen. In tegenstelling tot op handtekeningen gebaseerde filters, signaleert gedragsanalyse contextueel ongebruikelijke verzoeken, zelfs als deze afkomstig zijn van bronnen die legitiem lijken.
Procescontroles voor financiële transacties. De meest effectieve bescherming tegen BEC-fraude bij betalingen is een handmatige procescontrole: een externe verificatie via de telefoon naar een bekend nummer – niet naar het nummer dat in de verdachte e-mail staat vermeld – voordat een wijziging in een betalingsopdracht of een grote overschrijving wordt uitgevoerd. Geen autorisatie uitsluitend via e-mail voor financiële transacties boven een vastgestelde drempel.
Opleiding van medewerkers. Financiële medewerkers en directieassistenten, de belangrijkste doelgroepen van BEC, hebben specifieke training nodig over BEC-scenario's en de verificatieprocedures die ze moeten volgen wanneer ze ongebruikelijke betalingsverzoeken ontvangen. Algemene trainingen over phishing gaan niet in op de BEC-specifieke tactieken die aanvallers gebruiken.
Monitoring van het dark web. Gecompromitteerde inloggegevens waarmee BEC-aanvallen mogelijk zijn, verschijnen vaak op dark web-forums voordat aanvallers ze gebruiken. Dark Web ID, beschikbaar via Kaseya, controleert continu op inloggegevens van uw domein en geeft vroegtijdige waarschuwingen, zodat wachtwoorden kunnen worden gereset voordat accounts worden misbruikt.
MFA op alle e-mailaccounts. Voor BEC-aanvallen waarbij een account wordt overgenomen, is toegang tot het gehackte account vereist. MFA voorkomt dat diefstal van inloggegevens deze toegang mogelijk maakt. Zelfs als een aanvaller het wachtwoord via phishing of credential stuffing weet te bemachtigen, kan hij zich niet aanmelden zonder de tweede verificatiefactor.
Ontdek hoe Kaseya 365 BEC aanpakt met behulp van AI-gebaseerde e-mailbeveiliging en monitoring van het dark web.
Belangrijkste punten
- BEC behoort tot de duurste vormen van cybercriminaliteit als het gaat om de totale financiële schade; deze vorm van criminaliteit veroorzaakt jaarlijks miljarden aan schade door fraude, en niet zozeer door misbruik van technische kwetsbaarheden. Het cumulatieve totaal van de FBI voor de periode 2013-2023 bedraagt 55 miljard dollar.
- BEC omzeilt technische beveiligingsmaatregelen omdat het gebruikmaakt van vertrouwde accounts of overtuigende identiteitsfraude, in plaats van malware of schadelijke bijlagen.
- De meest effectieve beveiligingsmaatregelen combineren technische maatregelen (DMARC, e-mailbeveiliging op basis van AI, MFA) met procesmatige maatregelen (out-of-band-verificatie voor financiële transacties) en gerichte training van medewerkers.
- AI maakt BEC moeilijker te detecteren door imitaties te genereren die qua context nauwkeurig zijn. Voor detectie is het steeds vaker nodig om afwijkend gedrag te herkennen in plaats van inhoud te analyseren.
