CEO-fraude: de duurste cybercriminaliteit van 2026
CEO-fraude (ook wel 'Business Email Compromise' of BEC genoemd) is statistisch de duurste vorm van cybercriminaliteit voor Nederlandse bedrijven — vaak duurder dan ransomware. Met AI-tools wordt het steeds geavanceerder. Tijd voor een gedegen uitleg.
Hoe werkt CEO-fraude?
Het klassieke scenario: uw boekhouder krijgt een mail die lijkt van de CEO of directeur. 'Spoed: ik zit in vergadering, kun jij €80.000 overmaken naar deze rekening voor de overname die we bespraken? Bevestig graag direct, dit is vertrouwelijk.' De mail komt op een drukke vrijdagmiddag binnen.
De boekhouder twijfelt, maar het mailadres lijkt te kloppen, de toon is consistent met de CEO en het 'spoed/vertrouwelijk' element ontmoedigt nadere checks. Geld gaat eruit. Pas later blijkt: de CEO had niets gemaild, het bedrag is via meerdere rekeningen verdwenen, vaak via cryptocurrency naar het buitenland.
Nieuwe tactieken in 2026: AI en deepfakes
Criminelen gebruiken AI om mailstijl perfect te imiteren — gebaseerd op publiek beschikbare communicatie van uw CEO. Erger: deepfake-stemmen worden ingezet voor telefonische bevestiging. In 2025 verloor een Nederlands MKB-bedrijf €250.000 toen de boekhouder telefonisch 'de CEO' hoorde en dat als bevestiging accepteerde.
Hoe komen criminelen aan de informatie?
Vaak via een eerdere hack: ze hebben weken meegelezen in mails, kennen lopende projecten, weten wie wat doet en welke toon u gebruikt. Soms via LinkedIn en publieke informatie: 'oh, de CEO zit in een week vergaderingen in Berlijn? Perfect moment voor een spoedoverboeking-mail.'
De oplossing: dual control op betalingen
Tegen CEO-fraude helpt techniek alleen beperkt. Het belangrijkste is een hard procesregel: alle betalingen boven een bepaald bedrag (bijvoorbeeld €5.000) vereisen twéé personen, en grote afwijkende betalingen moeten ALTIJD telefonisch worden bevestigd via een bekend nummer (nooit het nummer in de mail of een nieuw nummer). Geen uitzonderingen, ook niet voor de CEO.
Andere maatregelen
Aanvullende technische en organisatorische maatregelen:
- SPF, DKIM en DMARC ingesteld op uw maildomein (voorkomt spoofing)
- MFA op alle e-mailaccounts (voorkomt mailbox-overname)
- Externe e-mails duidelijk markeren ('[EXTERN]' in onderwerp)
- Training specifiek over CEO-fraude voor financiële functies
- Procedure: bij afwijkende verzoeken altijd via tweede kanaal verifiëren (bel, app via bekend nummer)
CEO-fraude voorkomt u door processen, niet alleen door techniek. Wij helpen organisaties met security awareness én met technische maatregelen zoals DMARC-implementatie. Meer over onze diensten op vanrosmalenautomatisering.nl.
Complete IT-beveiliging voor uw bedrijf
Van Rosmalen Automatisering helpt Nederlandse MKB-bedrijven met beheerde cybersecurity: MFA, EDR, backups, monitoring en 24/7 support. Bekijk onze complete dienstenportfolio.
Lees ook
Hoe ransomware binnenkomt via phishing-mails — en hoe u het herkent
Meer dan 90% van alle ransomware-aanvallen begint met een phishing-mail. We leggen uit hoe deze mails er tegenwoordig uitzien, waarom ze zo overtuigend zijn en wat u kunt doen.
Lees meerHoe traint u medewerkers tegen phishing? Praktische gids
Uw medewerkers zijn de eerste en laatste verdedigingslinie tegen ransomware. Eenmalige training is niet genoeg — zo bouwt u een continue cultuur van alertheid.
Lees meerSupply chain aanvallen: het risico van uw leveranciers
Uw beveiliging is zo sterk als de zwakste schakel in uw keten. Steeds vaker komen ransomware-aanvallen binnen via een gehackte leverancier of partner.
Lees meer