Het is geen woord dat je elke dag hoort: BEC-fraude. Maar volgens het Openbaar Ministerie groeit BEC-fraude enorm. Deze oplichting via e-mail kan je veel geld kosten, óók als je een klein bedrijf hebt. Twee experts beantwoorden vier vragen over BEC-fraude.

Het begon als een normale zakendeal. Begin 2021 maakte een bedrijf uit Leimuiden afspraken met een Europese leverancier. Na wat mailverkeer plaatste het bedrijf een bestelling, ontving twee facturen voor in totaal 80.000 euro en maakte het geld over. In mei 2021 vroeg de leverancier ‘Waar blijft de betaling?’ Wat bleek: het Leimuidense bedrijf had het geld niet betaald aan de echte leverancier, maar aan criminelen. De oplichters kregen dat voor elkaar met BEC-fraude.

Wat is BEC-fraude?

“BEC staat voor Business E-mail Compromise”, vertelt Koen Hermans. Hij werkt als aanklager voor het Openbaar Ministerie en ziet elke week voorbeelden van BEC-fraude. “Criminelen gebruiken je zakelijke e-mailverkeer om je op te lichten.” Er zijn verschillende vormen van BEC-fraude, maar twee elementen komen bijna altijd terug: criminelen gebruiken e-mail en ze doen zich voor als iemand anders.

CEO-fraude

Een bekende vorm van BEC-fraude heet ook wel CEO-fraude. “Daarbij krijgt een medewerker een e-mail van ‘de baas’, met de vraag om geld over te maken. Uiteindelijk blijkt ‘de baas’ een crimineel die het geld wegsluist. Een bekend voorbeeld is de Pathé-zaak in 2018. In die zaak maakte de bioscoopketen zonder het zelf door te hebben in totaal 19 miljoen euro over aan criminelen.” En begin 2022 verloor een Rotterdams staalbedrijf ruim 11 miljoen euro door CEO-fraude.

Factuurfraude

Een andere vorm van BEC-fraude is factuurfraude. Hermans legt uit: “Je krijgt een factuur die je verwacht, maar op de factuur is het rekeningnummer aangepast. Dat valt je niet meteen op. Het geld dat je overmaakt gaat niet naar je leverancier, maar naar de crimineel. Soms schrijven de criminelen in de mail dat het bedrijf waar je vaker zaken mee doet een nieuw rekeningnummer heeft. Ze vragen je dan of je het rekeningnummer in je boekhoudsysteem wilt aanpassen.”

Spoofing

Hoe krijgen criminelen het voor elkaar dat jij denkt dat de mail van je leverancier komt? “Het kan zijn dat het mailadres gespooft is, of overgenomen”, legt Hermans uit. “Dan zie je niet aan het mailadres dat de mail eigenlijk van iemand anders komt. Maar we zien ook veel ‘typosquatting’. Daarbij wijzigt de oplichter een letter of cijfer in het mailadres. Niemand let daarop.” Is het echte adres info@kvk.nl, dan gebruikt de crimineel misschien info@kvk.nu. Of zelfs @kvk.nI, waarbij de laatste letter van het mailadres een hoofdletter ‘i’ is.

Raakt BEC-fraude kleine bedrijven?

Volgens Hermans is BEC-fraude ook een gevaar voor kleinere bedrijven en stichtingen. “Een aangifte die ik heb gezien, was van een bedrijf dat jaarlijks zo’n twee ton aan omzet binnenkreeg. Het werd voor een ton opgelicht. Dus ja: BEC-fraude overkomt ook bedrijven die geen miljoenenomzet hebben.” In april 2021 kreeg de penningmeester van een Zoetermeerse sportvereniging via e-mail een betaalverzoek van de voorzitter: of hij 3.500 euro wilde overmaken. Toen de penningmeester even belde, bleek dat de voorzitter die mail nooit verzonden had. “Op het moment dat je denkt ‘dit is vreemd’, pak de telefoon en bel de afzender”, adviseert Hermans.

Schade

De schade door BEC-fraude in Nederland is lastig in te schatten, zegt Bert Feskens, securityexpert bij Security Delta HSD. “Weinig bedrijven doen aangifte van cybercrime, omdat ze bang zijn voor reputatieschade of zich schamen. Dus we hebben te maken met onderrapportage. Maar volgens de Amerikaanse veiligheidsdienst FBI neemt deze vorm van fraude enorm toe. In 2020 was de gerapporteerde schade in de VS door BEC-fraude 1,8 miljard dollar.”

Hoe voorkom je BEC-fraude?

Feskens en Hermans geven vier tips waarmee je BEC-fraude helpt voorkomen:

1. Zorg voor technische drempels. Stel bijvoorbeeld je boekhoudsysteem zo in, dat het lastig is om een rekeningnummer te wijzigen. Zorg ook dat de beveiliging van je e-mailverkeer op orde is, zodat criminelen moeilijker je e-mailadres kunnen misbruiken.
2. Gebruik het vier-ogenprincipe. Laat altijd meerdere medewerkers meekijken met het betalen van facturen boven een bepaald bedrag. Zie je iets vreemds? Neem dan telefonisch contact op met de leverancier om de factuur te checken. Doe dat niet per e-mail, want het kan zijn dat criminelen je mailserver hebben gehackt en je mail onderscheppen.
3. Creëer een open bedrijfscultuur. Als medewerkers niet bang zijn om je vragen te stellen of feedback te geven, zullen ze een verdachte situatie eerder melden. Een open houding richting je medewerkers kan BEC-fraude dus voorkomen.
4. Let extra op in vakantietijd. Criminelen slaan vaak hun slag als de bezetting laag is, bijvoorbeeld tijdens het weekend of in de vakantie.

Wat als ik slachtoffer ben?

Kom je erachter dat je bent opgelicht via BEC-fraude? Hermans adviseert dan deze vier acties:

1. Bel direct je bank. “Kijk of zij het geld terug kunnen boeken. Vaak is dat niet mogelijk, omdat criminelen het geld meestal snel naar een andere rekening verplaatsen.”
2. Neem contact op met je IT-beheerder, als je die hebt. “Het kan namelijk zijn dat je mailserver is gehackt, dus het is goed als een specialist met je meekijkt.”
3. Doe aangifte bij de politie. “De politie en het OM kunnen pas stappen zetten als ze informatie krijgen. Op het moment dat je het niet meldt of geen aangifte doet, kunnen ze niks tegen de criminelen doen.”
4. Meld de fraude bij de Fraudehelpdesk. Zij waarschuwen andere ondernemers.

Hackhelpdesk

Ben je gehackt of denk je dat je gehackt bent? Op Hackhelpdesk.nl vind je een stappenplan en praktische oplossingen waarmee je verdere schade voorkomt.

In 2020 hackten criminelen de e-mail van een Haarlems softwarebedrijf. Tientallen klanten ontvingen valse facturen. Het hele verhaal lees je bij het Digital Trust Center (DTC).

Bron: Kamer van Koophandel (KvK)