Business Email Compromise is de duurste vorm van cybercrime per incident. De FBI rapporteerde in zijn IC3-jaarrapport over 2023 een totale schade van 2,9 miljard dollar door BEC-aanvallen, verdeeld over ruim 21.000 zaken. Dat is gemiddeld bijna 140.000 dollar per geval. Nederland kent geen vergelijkbaar centraal cijfer, maar Fraudehelpdesk en Politie schatten de jaarlijkse schade op tientallen miljoenen euro.
Modus operandi
BEC verloopt in fases. Eerst toegang: de aanvaller phisht een mailbox van een leverancier, een advocaat of uw eigen finance-medewerker. Dan observeert hij. Soms weken. Hij leest mailthreads, leert het taalgebruik, identificeert lopende betalingen en weet wie wat goedkeurt. Pas dan slaat hij toe, met een mail die zonder wrijving in een bestaande conversatie past. De twee meest voorkomende vormen: rekening-wijzigingsverzoek en gefakete betaalmail van een directielid.
Signalen die overblijven
Omdat de mail vaak van een echt account komt, helpen technische filters maar beperkt. Wat overblijft zijn inhoudelijke signalen. Een betalingsverzoek dat afwijkt van de gangbare procedure. Een IBAN-wijziging zonder schriftelijke bevestiging. Een leverancier die plotseling spoed maakt, of die juist vraagt om "discretie". Een mail die een paar uur na een normale conversatie binnenkomt en net iets te perfect aansluit, soms vanuit een look-alike-domein dat een letter verschilt.
DMARC enforce
De technische basis is DMARC op p=reject voor uw eigen verzenddomeinen. Daarmee voorkomt u dat aanvallers vanuit uw domein naar uw eigen klanten phishen. Veel Nederlandse organisaties staan op p=none of p=quarantine, wat de helft van de aanval doorlaat. Combineer met DKIM op alle uitgaande domeinen, inclusief marketing- en factureringsdomeinen, en met SPF dat aansluit op de werkelijke mailstromen.
Procesmaatregelen
Vier-ogen op betalingen boven een drempel. Vier-ogen op crediteurmutaties zonder uitzondering. Een terugbel-protocol bij IBAN-wijzigingen, waarbij u belt op een nummer uit uw eigen administratie en niet uit de mail. Een interne kanaalafspraak: spoedbetalingen lopen nooit per mail, alleen via uw eigen ERP of ticketsysteem. Deze maatregelen kosten weinig en stoppen het overgrote deel van de schade.
Detectie achter de schermen
Microsoft Defender voor Office 365 en Mimecast detecteren mailregels die mails automatisch verplaatsen of verwijderen, een klassiek aanvallerspatroon. Logging op login-locaties en op OAuth-toestemmingen aan externe apps in Microsoft Entra geven extra zicht. Combineer dit met awareness-training via PhishWise of KnowBe4, gericht op finance- en inkoop-functies.
Wat te doen na een geslaagde BEC
Direct de bank bellen voor recall, aangifte bij Politie, melding bij Fraudehelpdesk en intern de mailbox forensisch isoleren voordat logs verlopen.
Verwant: Onafhankelijke Cybersecurity consultant, Freelance finance consultant.