TL;DR: Business Email Compromise (BEC) is een gerichte vorm van e-mailfraude waarbij aanvallers zich voordoen als CEO’s, leveranciers of advocaten om grote geldbedragen te stelen. Wereldwijd veroorzaakte BEC in 2025 meer dan $3 miljard schade, bijna honderd keer meer dan ransomware in directe verliezen. De verdediging zit niet in technologie alleen, maar in procesmatige controles: het vierogenprincipe, out-of-band verificatie en een gedocumenteerde IBAN-wijzigingsprocedure.
$3,05 miljard. Dat is het bedrag dat bedrijven wereldwijd in 2025 verloren aan Business Email Compromise, volgens het FBI IC3 Internet Crime Report (2025). Ter vergelijking: de direct gerapporteerde verliezen door ransomware bedroegen in datzelfde jaar $32,3 miljoen. BEC veroorzaakt dus bijna honderd keer meer directe financiële schade, maar haalt zelden de krantenkoppen.
België kent het fenomeen maar al te goed. In 2016 verloor Crelan Bank €70 miljoen aan een klassieke CEO-fraude, waarbij oplichters zich voordeden als de topman van de bank en medewerkers overtuigden om tientallen overboekingen uit te voeren naar buitenlandse rekeningen. Het was een van de grootste fraudegevallen in de Belgische financiële geschiedenis.
Voor Vlaamse KMO’s met 50 tot 250 medewerkers is het risico bijzonder reëel. Korte beslissingslijnen, beperkte interne controles en een cultuur van onderling vertrouwen maken deze bedrijven tot het ideale doelwit.
Wat is BEC en hoe verschilt het van gewone phishing?
De FBI definieert Business Email Compromise als een complexe vorm van fraude waarbij aanvallers legitieme zakelijke e-mailaccounts misbruiken of nabootsen om ongeautoriseerde overboekingen te initiëren of gevoelige bedrijfsinformatie buit te maken. De kern van het verschil met gewone phishing zit in drie elementen.
Ten eerste is BEC gericht. Waar traditionele phishing miljoenen identieke mails verstuurt in de hoop dat een fractie klikt, onderzoekt een BEC-aanvaller wekenlang de organisatiestructuur, de namen van financieel verantwoordelijken en de relaties met leveranciers. Ten tweede bevat een BEC-mail zelden malware of verdachte links. Het is simpelweg een overtuigend tekstbericht dat de ontvanger aanzet tot een actie die binnen het normale takenpakket lijkt te vallen, zoals het betalen van een factuur. Traditionele spamfilters en antivirussoftware detecteren deze berichten daardoor vaak niet. Ten derde richt BEC zich op grote bedragen per incident, waar massa-phishing doorgaans op kleine bedragen mikt.
Een specifieke variant is Email Account Compromise (EAC), waarbij de aanvaller daadwerkelijk toegang krijgt tot een legitiem e-mailaccount van een medewerker. In dat geval komt het frauduleuze verzoek niet van een “lijkend” adres, maar van het echte account, wat detectie aanzienlijk bemoeilijkt. Een uitgebreider overzicht van alle phishingtypes die Vlaamse werknemers moeten herkennen vindt u in ons overzichtsartikel.
De 5 hoofdtypes BEC die Vlaamse KMO’s raken
| Type | Modus operandi | Doelfunctie | Typische schade |
|---|---|---|---|
| CEO-fraude | Aanvaller doet zich voor als CEO/bestuurder en vraagt een dringende, vertrouwelijke betaling | Finance, boekhouding, executive assistant | €50.000 tot miljoenen |
| Leveranciersfraude (IBAN-swap) | Aanvaller onderschept leverancierscommunicatie en stuurt factuur met gewijzigd rekeningnummer | Crediteurenadministratie, inkoop | €10.000 tot €500.000 |
| Payroll-fraude | Aanvaller doet zich voor als medewerker en vraagt HR om loonrekening te wijzigen | HR-manager, loonadministratie | Eén tot meerdere maandsalarissen |
| Advocaatfraude | Aanvaller imiteert externe advocaat of notaris met verzoek om dringende escrow-betaling | CFO, zaakvoerder, controller | Vergelijkbaar met CEO-fraude |
| Gegevensdiefstal | Aanvaller vraagt personeelslijsten, loonstroken of contractdetails op voor toekomstige aanvallen | HR, administratie | Indirect: identiteitsdiefstal en latere BEC |
CEO-fraude maakt gebruik van de machtsdynamiek binnen een organisatie. De aanvaller zet de ontvanger onder tijdsdruk met zinnen als “Ik zit in vergadering en ben telefonisch niet bereikbaar, dit moet voor 14u geregeld zijn.” Die combinatie van autoriteit en urgentie ontmoedigt het volgen van reguliere controlepaden.
Leveranciersfraude is de meest voorkomende variant bij Vlaamse KMO’s die internationaal zaken doen. De aanvaller hackt de mailbox van een leverancier, wacht tot er een legitieme factuur wordt verstuurd en vervangt het IBAN-nummer. Omdat de mail van het echte adres komt en de juiste context bevat, wordt de betaling zonder extra verificatie uitgevoerd.
Payroll-fraude groeit snel. Een verzoek om een loonrekening te wijzigen komt ogenschijnlijk van een medewerker, vaak via een privé-mailadres dat sterk op het echte lijkt. Per incident is de schade beperkt, maar aanvallers targeten meerdere medewerkers tegelijk.
Bij BEC-aanvallen die gebruikmaken van stemimitatie via deepfake-technologie spreekt men van een multimodale aanval. De combinatie van e-mail en een telefonische bevestiging via gekloonde stem maakt dergelijke scenario’s bijzonder gevaarlijk.
De financiële schaal: waarom BEC de stille miljoenenroof is
Het FBI IC3 Internet Crime Report (2025) documenteert een historisch record: de totale gerapporteerde verliezen door cybercriminaliteit overschreden voor het eerst de grens van $20,9 miljard, een stijging van 26% ten opzichte van 2024. BEC was de op één na grootste verliespost met $3,05 miljard, direct na investeringsfraude ($8,6 miljard).
Het gemiddelde verlies per BEC-incident bedraagt ruim $123.000. Ter vergelijking: phishing genereerde bijna acht keer zoveel klachten als BEC, maar BEC produceerde veertien keer meer financiële schade. Dat illustreert de essentie van het verschil: BEC is geoptimaliseerd voor hoge bedragen per doelwit, niet voor volume.
In België bevestigt het Centrum voor Cybersecurity België (CCB) de stijgende dreiging. In het jaarverslag over 2025 rapporteert het CCB een verdubbeling van het aantal gevallen van accountcompromittering tot 144 nationale incidenten. Accountcompromittering is vaak de technische voorloper van een succesvolle BEC-fraude. Het Safeonweb-platform ontving in 2025 bijna 10 miljoen meldingen van verdachte e-mails, en het CCB observeert een duidelijke verfijning van tactieken waarbij e-mail gecombineerd wordt met berichtenplatforms.
Een specifiek risico voor Vlaamse KMO’s is de lage recovery rate. Zodra geld is overgemaakt naar een frauduleuze rekening, wordt het binnen 24 tot 72 uur doorgeboekt naar een netwerk van “money mule” accounts en vervolgens omgezet in cryptovaluta. Bij internationale overschrijvingen wordt in minder dan 10% van de gevallen het geld succesvol bevroren. Meer over de volledige kostprijs van cyberincidenten leest u in ons artikel over wat een cyberaanval écht kost.
Hoe een BEC-aanval er in de praktijk uitziet: 4 fasen
Fase 1: onderzoek. De aanvallers beginnen met passieve informatieverzameling. Via LinkedIn brengen ze de hiërarchie en financiële bevoegdheden in kaart. De bedrijfswebsite levert context op via nieuwsberichten over contracten of overnames. Door kleine interacties, zoals een vraag over een oude factuur, leren ze de communicatietoon en naamgevingsconventies kennen.
Fase 2: account compromise of spoofing. De aanvaller creëert een geloofwaardige bron. Bij display name spoofing toont Outlook de naam “Jan Janssens (CEO)” terwijl het onderliggende adres een Gmail-account is. Bij look-alike domeinen registreren ze domeinnamen die slechts één letter verschillen van het echte bedrijfsdomein. De gevaarlijkste variant is daadwerkelijke accountovername (EAC), waarbij de aanvaller via credential phishing of gelekte wachtwoorden het werkelijke account hackt en forwarding rules installeert om de mailbox ongemerkt te monitoren.
Fase 3: social engineering. Dit is de kern van de fraude. Verzoeken worden bewust getimed op vrijdagmiddag, vlak voor een feestdag, of wanneer de CEO aantoonbaar op reis is. De aanvaller gebruikt psychologische triggers: urgentie (“dit moet nu”) en vertrouwelijkheid (“houd dit nog even voor jezelf”). Dat ontmoedigt de medewerker om collega’s te raadplegen.
Fase 4: geld witwassen. Zodra de overboeking is bevestigd, telt elke seconde. Het geld komt aan op een rekening van een geldezel, wordt onmiddellijk in kleine stukjes verdeeld naar Aziatische of Oost-Europese banken, en omgezet in cryptovaluta. Dit maakt het spoor voor politie en banken vrijwel onvindbaar.
Hoe AI-gedreven phishing deze fasen versnelt en verfijnt, leest u in ons artikel over waarom traditionele bescherming niet meer volstaat.
Procesmatige controles: meestal belangrijker dan technische
Dit is de kern voor elke CFO en zaakvoerder. De meest effectieve verdediging tegen BEC zit niet in dure software, maar in gedocumenteerde betalingsprocessen die social engineering structureel onmogelijk maken.
Het vierogenprincipe. Geen enkele betaling boven een afgesproken drempel (bijvoorbeeld €25.000) mag door één persoon worden geïnitieerd én goedgekeurd. De initiator en de goedkeurder zijn twee verschillende personen, wat een tweede paar ogen afdwingt dat niet onder de directe psychologische druk van het frauduleuze verzoek staat. Essentieel: borg dit technisch in uw bankplatform (Isabel, Bolero), niet als mondelinge afspraak.
Out-of-band verificatie. Dit is de gouden regel van BEC-preventie. Bij elk verzoek om een bankrekeningnummer te wijzigen of bij een ongebruikelijke spoedbetaling, neemt de medewerker contact op via een ander kanaal dan e-mail. Concreet: bel de leverancier op een telefoonnummer dat al in het systeem staat, niet het nummer uit de e-mail.
Vendor master data lock-down. Bankrekeningnummers in het ERP-pakket of de boekhoudsoftware mogen niet zomaar door iedereen worden aangepast. Een wijziging van een IBAN-nummer moet worden behandeld als een kritiek incident met een formele procedure, inclusief bewijsvoering van de bank van de leverancier.
HR-procedure voor payroll-wijzigingen. Geen enkele wijziging van een loonrekening mag gebeuren op basis van een e-mail alleen. Verplicht medewerkers om dergelijke wijzigingen door te voeren via een beveiligd werknemersportaal met multifactorauthenticatie (MFA) of via een fysiek ondertekend document.
Cool-down period. Voer een verplichte wachttijd in voor “dringende” betalingsverzoeken. Een verzoek dat claimt dat het “binnen het uur” moet gebeuren, is precies het type verzoek dat extra verificatie verdient.
Technische controles: DMARC, SPF en DKIM
Naast procesmatige controles kan de IT-afdeling barrières opwerpen die look-alike spoofing aanzienlijk bemoeilijken. De drie pijlers van e-mailauthenticatie zijn SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) en DMARC (Domain-based Message Authentication, Reporting and Conformance).
SPF definieert welke IP-adressen namens uw domein mogen mailen. DKIM voegt een digitale handtekening toe die bewijst dat de mail van uw server komt en onderweg niet is aangepast. DMARC bepaalt wat er moet gebeuren als SPF of DKIM faalt.
Voor de meeste Vlaamse KMO’s is het groeipad realistisch: start met DMARC op “monitor” (alleen kijken wat er misloopt), verschuif na drie maanden naar “quarantine” (verdachte mails in spam), en ga na zes tot twaalf maanden naar “reject” (mails die niet door de controle komen, worden niet afgeleverd). Pas bij reject wordt look-alike spoofing effectief tegengehouden.
Veel KMO’s hebben SPF geconfigureerd maar geen DMARC, of DMARC op “monitor” dat nooit verder is gezet. Dat is een laaghangende vrucht met hoog rendement. Controleer ook of impersonation protection in Microsoft 365 Defender specifiek is geconfigureerd voor uw directieleden en belangrijke domeinen. Meer over de beveiliging van uw Microsoft 365-omgeving leest u in ons audit-artikel.
Cyberverzekering en BEC: let op de fine print
Veel CFO’s gaan ervan uit dat hun cyberverzekering alle BEC-verliezen dekt. Dat is een gevaarlijk misverstand. Verzekeraars maken een strikt onderscheid tussen “computer fraud” (directe technische inbraak) en “social engineering fraud” (een medewerker die misleid maar vrijwillig geld overmaakt). BEC valt vrijwel altijd in de tweede categorie, die een specifieke uitbreiding van de polis vereist, vaak met lagere dekkingslimieten en hogere eigen risico’s.
Bij een claim kijken verzekeraars bovendien zeer kritisch naar de preventie. Als een bedrijf geen MFA op e-mail heeft geactiveerd, of als er geen gedocumenteerde verificatieprocedure bestond voor IBAN-wijzigingen, kan de verzekeraar weigeren uit te keren wegens grove nalatigheid. BEC-claims leiden ook vrijwel altijd tot een significante premiestijging het jaar nadien.
Controleer expliciet of uw polis “misleiding door bedrieglijke instructies” dekt. Vraag uw verzekeraar of makelaar om duidelijkheid over de exacte voorwaarden, uitsluitingen en dekkingslimieten voor social engineering fraude. Ons artikel over cyberverzekering in België gaat dieper in op wat een polis dekt en wat niet.
8 vragen die elke CFO zichzelf moet stellen
Elke CFO of zaakvoerder van een Vlaamse KMO zou de volgende acht vragen moeten beantwoorden om de BEC-weerbaarheid van de organisatie te toetsen.
1. Wie heeft de autoriteit? Wie in uw organisatie kan autonoom een betaling boven de €25.000 initiëren én goedkeuren? Het antwoord zou “niemand” moeten zijn.
2. Is het vierogenprincipe technisch geborgd? Wordt de dubbele handtekening afgedwongen in uw bankplatform, of is dit slechts een mondelinge afspraak?
3. Wat is uw IBAN-wijzigingsprocedure? Verifieert u wijzigingen altijd via een tweede kanaal (telefoon)? Is deze procedure gedocumenteerd en gekend door iedereen op de financiële afdeling?
4. Hoe beveiligt u dringende verzoeken? Wat doet u als de CEO op vrijdagmiddag een “zeer dringende en vertrouwelijke” betaling vraagt? Is er een afgesproken verificatieprocedure?
5. Staat uw DMARC op “reject”? Is uw e-mailomgeving zo geconfigureerd dat anderen geen mails kunnen versturen die van uw domein lijken te komen?
6. Is uw finance-team specifiek getraind? Krijgen de mensen die de bankrekening beheren trainingen die specifiek ingaan op BEC-scenario’s, in plaats van alleen algemene cybersecurity-tips? Een phishing simulatieprogramma met BEC-scenario’s maakt het verschil.
7. Is MFA overal actief? Heeft u multifactorauthenticatie op elk e-mailaccount, zonder uitzonderingen voor de directie?
8. Bent u gedekt voor social engineering? Heeft u expliciet gecontroleerd of uw cyberverzekering misleiding door “bedrieglijke instructies” dekt?
Als u op meer dan twee van deze vragen “nee” of “weet ik niet” antwoordt, is uw organisatie kwetsbaar voor BEC.
VLAIO-subsidies voor BEC-preventie
De Vlaamse overheid erkent de dreiging voor KMO’s en biedt financiële ondersteuning via twee regelingen.
De KMO-portefeuille biedt sinds februari 2026 exclusief subsidie voor cybersecurity-advies: 45% voor kleine ondernemingen, 35% voor middelgrote, met een maximum van €7.500 per jaar. Dit kan worden ingezet voor extern advies om betalingsprocessen door te lichten of een DMARC-implementatie te begeleiden.
Het VLAIO Cybersecurity Verbetertraject biedt tot 50% subsidie voor intensievere begeleide trajecten van €7.100 tot €39.900, inclusief audit, awareness en technische maatregelen.
Een rekenvoorbeeld: een middelgrote KMO (150 medewerkers) schakelt een consultant in voor een BEC-audit en e-mailbeveiligingsproject van €10.000. Via de KMO-portefeuille betaalt de overheid €3.500 (35%), waardoor de netto-investering €6.500 bedraagt. Gezien het gemiddelde BEC-verlies van meer dan €120.000 is de return on investment direct aantoonbaar. Meer over het kostenplaatje van phishing simulaties leest u in ons prijzenartikel.
Veelgestelde vragen over Business Email Compromise
Wat is het verschil tussen BEC en gewone phishing?
Gewone phishing is een volumetrische aanval: miljoenen identieke e-mails naar willekeurige ontvangers, vaak met malware of kwaadaardige links. BEC is gericht op specifieke personen met financiële autoriteit, bevat zelden malware en maakt gebruik van sociale manipulatie om grote bedragen per incident te stelen.
Hoeveel schade veroorzaakt BEC wereldwijd?
Volgens het FBI IC3 Internet Crime Report (2025) veroorzaakte BEC wereldwijd $3,05 miljard aan gerapporteerde verliezen. Het werkelijke bedrag ligt hoger omdat veel incidenten niet worden gemeld.
Hoe herken ik een BEC-aanval?
Let op ongebruikelijke urgentie (“dit moet nu, vertrouwelijk”), verzoeken om rekeningnummers te wijzigen, afwijkende e-mailadressen bij nauwkeurige inspectie, en situaties waarin het terugbellen van de afzender wordt ontmoedigd. Vishing en deepfakes kunnen de authenticiteit verhogen.
Valt mijn KMO onder NIS2-meldplicht bij een BEC-incident?
Als uw organisatie onder NIS2 valt en het BEC-incident een aanzienlijke financiële impact heeft, moet u dit binnen 24 uur melden aan het CCB. Bij Email Account Compromise is er bovendien vaak sprake van een datalek dat binnen 72 uur gemeld moet worden bij de Gegevensbeschermingsautoriteit (GBA).
Dekt mijn cyberverzekering BEC-verliezen?
Niet automatisch. BEC valt onder “social engineering fraud”, niet onder “computer fraud”. Controleer of uw polis deze dekking expliciet bevat. Verzekeraars kunnen claims weigeren als basale controles zoals MFA of het vierogenprincipe ontbraken.
Wat is de eerste stap die ik nu kan nemen?
Controleer vandaag nog of uw DMARC-policy op “reject” staat en of uw vierogenprincipe technisch is afgedwongen in uw bankplatform. Die twee maatregelen kosten weinig en hebben het hoogste beschermingsrendement.
Biedt een phishing simulatie bescherming tegen BEC?
Ja, mits de simulatie specifieke BEC-scenario’s bevat, zoals CEO-fraude en leveranciersfraude. Een generieke phishing-test traint medewerkers op het herkennen van kwaadaardige links, maar niet op het herkennen van overtuigende betalingsverzoeken. Een gericht simulatieprogramma maakt het verschil.
Volgende stap
Business Email Compromise is geen IT-probleem. Het is een strategisch bedrijfsrisico dat de cashflow en de reputatie van Vlaamse KMO’s direct bedreigt. De verdediging begint bij uw betalingsprocessen, niet bij uw firewall.
Een cybersecurity audit van Cyberplan toetst expliciet de weerbaarheid van uw organisatie tegen BEC: van DMARC-configuratie tot het vierogenprincipe, van e-mailbeveiliging tot de awareness van uw finance-team. Combineer dit met een phishing simulatie die specifiek BEC-scenario’s bevat, en u weet precies waar uw kwetsbaarheden zitten.
Boek een kennismakingsgesprek en ontdek in één uur waar uw organisatie staat.
