Je halve omzet kwijt aan oplichters. Dit is BEC-fraude

  • Achtergrond
  • Bijgewerkt 13 maart 2025
  • 3 min
  • Runnen en groeien
  • Veilig zakendoen

Het is geen woord dat je elke dag hoort: BEC-fraude. Toch groeit BEC-fraude enorm volgens het Openbaar Ministerie. Deze oplichting via e-mail kan je veel geld kosten, óók als je een klein bedrijf hebt.

Bescherm je bedrijf

In onze e-mailserie lees je hoe je omgaat met digitale risico’s.

Abonneer je nu

Het begon als een normale zakendeal. Een bedrijf uit Leimuiden maakte afspraken met een Europese leverancier. Na wat mailverkeer plaatste het bedrijf een bestelling, ontving twee facturen voor in totaal 80.000 euro en maakte het geld over. Een tijdje later vroeg de leverancier waar de betaling bleef. Wat bleek: het Leimuidense bedrijf had het geld niet betaald aan de echte leverancier, maar aan criminelen. De oplichters kregen dat voor elkaar met BEC-fraude.

Wat is BEC-fraude?

BEC staat voor Business E-mail Compromise. Criminelen gebruiken je zakelijke e-mailverkeer om je op te lichten. Er zijn verschillende vormen van BEC-fraude, maar twee dingen komen bijna altijd terug: criminelen gebruiken e-mail en ze doen alsof ze iemand anders zijn.

CEO-fraude

Een bekende vorm van BEC-fraude heet ook wel CEO-fraude. Daarbij krijgt een medewerker een e-mail van ‘de baas’, met de vraag om geld over te maken. Uiteindelijk blijkt ‘de baas’ een crimineel die het geld wegsluist. Een bekend voorbeeld is de Pathé-zaak in 2018. In die zaak maakte de bioscoopketen zonder het zelf door te hebben in totaal 19 miljoen euro over aan criminelen. En begin 2022 verloor een Rotterdams staalbedrijf ruim 11 miljoen euro door CEO-fraude.

Factuurfraude

Een andere vorm van BEC-fraude is factuurfraude. Je krijgt een factuur die je verwacht, maar op de factuur is het rekeningnummer aangepast. Dat valt je niet meteen op. Het geld dat je overmaakt gaat niet naar je leverancier, maar naar de crimineel. Soms schrijven de criminelen in de mail dat het bedrijf waar je vaker zaken mee doet een nieuw rekeningnummer heeft. Ze vragen je dan of je het rekeningnummer in je boekhoudsysteem wilt aanpassen.

Spoofing

Hoe krijgen criminelen het voor elkaar dat jij denkt dat de mail van je leverancier komt? “Het kan zijn dat het mailadres gespooft is, of overgenomen”, legt Koen Hermans uit. Hij werkt als aanklager voor het Openbaar Ministerie en ziet elke week voorbeelden van BEC-fraude. “Dan zie je niet aan het mailadres dat de mail eigenlijk van iemand anders komt want het adres klopt gewoon. Maar we zien ook veel ‘typosquatting’. Daarbij wijzigt de oplichter een letter of cijfer in het mailadres. Niemand let daarop.” Is het echte adres info@kvk.nl, dan gebruikt de crimineel misschien info@kvk.nu. Of zelfs @kvk.nI, waarbij de laatste letter van het mailadres een hoofdletter ‘i’ is.

Op het moment dat je denkt ‘dit is vreemd’, pak de telefoon en bel de afzender.

Ook kleine bedrijven

Volgens Hermans is BEC-fraude ook een gevaar voor kleinere bedrijven en stichtingen. “Een aangifte die ik heb gezien, was van een bedrijf dat jaarlijks zo’n twee ton aan omzet binnenkreeg. Het werd voor een ton opgelicht. Dus ja: BEC-fraude overkomt ook bedrijven die geen miljoenenomzet hebben.” In april 2021 kreeg de penningmeester van een Zoetermeerse sportvereniging via e-mail een betaalverzoek van de voorzitter: of hij 3.500 euro wilde overmaken. Toen de penningmeester even belde, bleek dat de voorzitter die mail nooit verzonden had. “Op het moment dat je denkt ‘dit is vreemd’, pak de telefoon en bel de afzender”, adviseert Hermans.

Schade

De schade door BEC-fraude in Nederland is lastig in te schatten, zegt Bert Feskens, securityexpert bij Security Delta HSD. “Weinig bedrijven doen aangifte van cybercrime, omdat ze bang zijn voor reputatieschade of zich schamen. Dus we hebben te maken met onderrapportage.”

Zo voorkom je BEC-fraude

Deze  vier tips helpen BEC-fraude voorkomen:

  1. Zorg voor technische drempels. Stel bijvoorbeeld je boekhoudsysteem zo in, dat het lastig is om een rekeningnummer te wijzigen. Zorg ook dat de beveiliging van je e-mailverkeer op orde is, zodat criminelen moeilijker je e-mailadres kunnen misbruiken.
  2. Gebruik het vier-ogenprincipe. Laat altijd verschillende medewerkers meekijken met het betalen van facturen boven een bepaald bedrag. Zie je iets vreemds? Bel dan de leverancier om de factuur te checken. Doe dat niet per e-mail, want het kan zijn dat criminelen je mailserver hebben gehackt en je mail onderscheppen.
  3. Creëer een open bedrijfscultuur. Als medewerkers niet bang zijn om je vragen te stellen of feedback te geven, zullen ze een verdachte situatie eerder melden. Een open houding richting je medewerkers kan BEC-fraude dus voorkomen.
  4. Let extra op in vakantietijd. Criminelen slaan vaak hun slag als de bezetting laag is, bijvoorbeeld tijdens het weekend of in de vakantie.

Opgelicht, wat nu?

Kom je erachter dat je bent opgelicht via BEC-fraude? Onderneem dan deze vier acties:

  1. Bel direct je bank. Criminelen verplaatsen het geld meestal snel naar een andere rekening. Maar als je op tijd bent, kan je bank het geld mogelijk terugboeken naar je rekening.
  2. Neem contact op met je IT-beheerder, als je die hebt. Het kan zijn dat je mailserver is gehackt, dus het is goed als een specialist met je meekijkt.
  3. Doe aangifte bij de politie. De politie en het OM kunnen pas iets voor je doen als ze informatie krijgen. Op het moment dat je het niet meldt of geen aangifte doet, kunnen ze niks tegen de criminelen doen.
  4. Meld de fraude bij de Fraudehelpdesk. Zij waarschuwen andere ondernemers.

Hackhelpdesk

Ben je gehackt of denk je dat je gehackt bent? Op Hackhelpdesk.nl vind je een stappenplan en praktische oplossingen waarmee je verdere schade voorkomt.

Anderen lezen ook