Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Business Email Compromise (BEC) herkennen en voorkomen

Bij BEC doet een aanvaller zich voor als een leidinggevende of leverancier om een frauduleuze betaling te ontfutselen. Leer de signalen herkennen en bouw verdediging op techniek en proces.

schedule5 min lezen event1 Jun 2026 updateBijgewerkt 17 wkn open_in_new data_object

Een mail van de directeur: dringend een betaling overmaken naar een nieuwe rekening, vertrouwelijk, vandaag nog. De medewerker wil helpen en handelt. Pas later blijkt de mail nep en het geld weg. Dit is Business Email Compromise, een van de duurste vormen van cybercriminaliteit. Het bijzondere is dat het zelden om hacken of malware gaat, maar om het manipuleren van mensen. Daarom vraagt de verdediging om meer dan techniek alleen.

Wat BEC anders maakt

BEC valt op door wat het mist: meestal geen virus, geen kwaadaardige bijlage, geen verdachte link. Juist daardoor glipt het langs technische filters die op malware letten. De aanvaller stuurt een geloofwaardige, schone mail die puur op psychologie speelt.

De truc is gezag en urgentie. De mail lijkt van iemand met autoriteit te komen, vraagt om snelheid en discretie, en ontmoedigt de medewerker om te dubbelchecken. Die combinatie zet mensen onder druk om hun normale voorzichtigheid te laten varen.

info

BEC kent meerdere vormen

Soms doet de aanvaller zich voor als de directeur die een spoedbetaling vraagt. Soms als een leverancier die meldt dat zijn rekeningnummer is gewijzigd. Soms is een echt account gehackt en stuurt de aanvaller vanaf het werkelijke adres. Elke variant mikt op een geldstroom of gevoelige gegevens.

De signalen herkennen

BEC-mails delen herkenbare kenmerken. Wie die kent, voelt het al aankomen voordat er gehandeld wordt.

Zo herken je een BEC-mail

  1. Let op onverwachte urgentie en druk om snel te handelen.
  2. Wantrouw verzoeken om vertrouwelijkheid die normaal overleg ontmoedigen.
  3. Controleer of het afzenderdomein exact klopt en let op lookalikes.
  4. Wees alert bij een gewijzigd rekeningnummer van een bekende leverancier.
  5. Merk op of de schrijfstijl subtiel afwijkt van de echte persoon.
  6. Verifieer elk betalingsverzoek via een tweede, onafhankelijk kanaal.

Techniek als eerste laag

Hoewel BEC op mensen mikt, helpt techniek wel degelijk. Een handhavend DMARC-beleid voorkomt dat aanvallers je eigen domein vervalsen. Lookalike-detectie vangt bijna-identieke domeinen. Sterke 2-staps-verificatie voorkomt dat een echt account gekaapt wordt en van binnenuit BEC verstuurt.

In Google Workspace zet je deze lagen aan via de Admin-console. Stel SPF, DKIM en een handhavend DMARC-beleid (p=reject) in voor je domein, schakel Gmail-beveiliging in voor spoofing en authenticatie, en dwing 2-staps-verificatie af. Wie Google Workspace Enterprise of Frontline gebruikt, kan met security keys of passkeys de sterkste phishingbestendige variant van 2-staps-verificatie verplichten.

warning

Een gehackt account is de gevaarlijkste variant

Bij een gekaapt account komt de mail echt van het juiste adres en passeert die alle authenticatie. Daarom is 2-staps-verificatie op elk account geen luxe maar noodzaak. Zonder kan een aanvaller met een gestolen wachtwoord vanuit het echte account van je directeur fraude plegen die technisch volledig legitiem oogt. Dwing 2-staps-verificatie organisatiebreed af.

Proces als beslissende laag

De echte verdediging tegen BEC is procesmatig. Stel een ijzeren regel in: elk betalingsverzoek en elke wijziging van bankgegevens wordt geverifieerd via een tweede, onafhankelijk kanaal. Niet door op de mail te antwoorden, maar door de persoon te bellen op een vooraf bekend nummer.

Gebruik onderstaande beslisregels als richtsnoer:

  • Spoedbetaling van een leidinggevende: bel de persoon op een bekend nummer en antwoord niet op de mail.
  • Gewijzigd rekeningnummer van een leverancier: verifieer telefonisch via een eerder bekend contact, niet via gegevens uit de mail zelf.
  • Verzoek om vertrouwelijkheid: dat is juist een rode vlag, betrek altijd een tweede persoon.
  • Twijfel: handel niet en escaleer naar je beveiligings- of financieel team.

Cultuur en training

Het proces werkt alleen als de cultuur het ondersteunt. Medewerkers moeten zich vrij voelen om een verzoek van de directie te verifieren zonder bang te zijn voor een reprimande. Maak duidelijk dat dubbelchecken gewenst is, niet brutaal.

lightbulb

Maak verifieren cultureel vanzelfsprekend

Communiceer expliciet en herhaaldelijk dat niemand, ook de hoogste leidinggevende niet, ooit boos zal zijn over een verificatie-telefoontje bij een betalingsverzoek. De aanvaller rekent juist op de aarzeling van een medewerker om de baas lastig te vallen. Neem die aarzeling weg en je haalt de motor onder BEC vandaan. Een cultuur waarin verifieren normaal is, is je sterkste verdediging.

Gebruikt BEC malware?

Meestal niet. Het draait om sociale manipulatie en glipt daardoor langs malwarefilters die alleen op virussen en kwaadaardige bijlagen letten.

Helpt DMARC tegen BEC?

Tegen het vervalsen van je eigen domein helpt een handhavend DMARC-beleid wel. Het beschermt echter niet tegen een gehackt account of een lookalike-domein, omdat de mail dan vanaf een echt of vrijwel identiek adres komt.

Wat is de beste verdediging tegen BEC?

Verificatie via een tweede, onafhankelijk kanaal bij elk betalings- of wijzigingsverzoek. Bel de persoon op een vooraf bekend nummer in plaats van op de mail te antwoorden.

Waarom is 2-staps-verificatie zo belangrijk?

Het voorkomt dat een aanvaller met een gestolen wachtwoord een echt account kaapt en van binnenuit BEC pleegt. Een gekaapt account passeert namelijk alle e-mailauthenticatie.

Wat doe ik als ik vermoed dat we slachtoffer zijn?

Stop direct elke openstaande betaling, neem contact op met je bank om een overboeking eventueel terug te halen, wijzig wachtwoorden en sessies van het betrokken account, en meld het bij je beveiligingsteam. Snelheid vergroot de kans om geld te recupereren.

Is BEC alleen een risico voor grote bedrijven?

Nee. Aanvallers richten zich net zo goed op kleine en middelgrote organisaties, omdat die vaak minder strakke verificatieprocessen hebben. Iedere organisatie met uitgaande betalingen is een doelwit.

Business Email Compromise omzeilt techniek door op mensen te mikken, dus de verdediging moet techniek en proces combineren. Leg een handhavend DMARC-beleid en organisatiebrede 2-staps-verificatie als basis, en bouw daarbovenop een onwrikbaar proces van verificatie via een tweede kanaal. Maak verifieren cultureel vanzelfsprekend. Dan loopt zelfs de meest overtuigende BEC-poging stuk op een simpel telefoontje.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Geavanceerde phishingbescherming configureren

Gmail vangt veel phishing automatisch, maar gerichte aanvallen vragen om extra instellingen. Leer welke geavanceerde phishingbescherming je als beheerder activeert.

schedule5 min label3 gedeelde tags
Lees verder arrow_forward

Geavanceerde phishing-bescherming instellen in Google Workspace

Scherp de phishing- en malwarebescherming van Gmail aan via de Safety-instellingen en zet voor hoogrisico-gebruikers het Advanced Protection Program in.

schedule4 min label3 gedeelde tags
Lees verder arrow_forward

Phishing-simulaties uitvoeren voor je medewerkers

Phishing-simulaties testen of medewerkers verdachte mails herkennen in een veilige oefenomgeving: je stuurt nepphishing, meet wie klikt en koppelt daar gerichte training aan, zonder mensen af te schrikken.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

Security awareness-training voor Google Workspace-gebruikers

Security awareness-training leert Workspace-gebruikers veilig gedrag: phishing herkennen, veilig delen in Drive, 2FA gebruiken en datalekken melden via een doorlopend, concreet programma dat aantoonbaar gedrag verandert.

schedule5 min label2 gedeelde tags
Lees verder arrow_forward

Phishingmails blokkeren met Gmail-beveiligingsinstellingen

Je vermindert phishing flink door in de Admin-console de geavanceerde Gmail-beveiliging aan te zetten: bescherming tegen spoofing en impersonatie, aanvullende controle op bijlagen en links, en een banner voor externe afzenders. Combineer dit met SPF, DKIM en DMARC en met training van gebruikers.

schedule4 min label2 gedeelde tags
Lees verder arrow_forward