Phishing en een BEC-aanval lijken op het eerste gezicht op elkaar: beide zijn vormen van digitale oplichting via e-mail. Het grote verschil zit in de aanpak. Phishing gooit een breed net uit en richt zich op grote groepen mensen tegelijk. Een BEC-aanval (Business Email Compromise) is gericht, persoonlijk en veel gevaarlijker voor bedrijven. De aanvaller doet zich voor als iemand die je vertrouwt, zoals een leidinggevende of leverancier, om betalingen of gevoelige informatie los te krijgen.
Phishing herkennen lukt niet meer met de methoden van tien jaar geleden
Vroeger was een phishing-e-mail makkelijk te herkennen: slechte spelling, een vreemd e-mailadres en een generieke aanhef als “Beste klant.” Tegenwoordig zijn phishing-berichten gepersonaliseerd, professioneel opgemaakt en soms zelfs afgestemd op jouw branche of bedrijf. Aanvallers gebruiken openbare informatie van LinkedIn, je website of sociale media om berichten geloofwaardig te maken. Als je nog steeds vertrouwt op visuele rode vlaggen als spelfouten, loop je achter op de werkelijke dreiging. Wat werkt: technische bescherming aanvullen met bewustzijnstraining, zodat medewerkers leren denken in plaats van alleen kijken.
Een succesvolle BEC-aanval kost je meer dan geld alleen
Uit onderzoeksdata blijkt dat meer dan de helft van de organisaties die slachtoffer werden van een identiteitsaanval, zoals BEC, verliezen rapporteert van meer dan 500.000 dollar. Maar naast het financiële verlies beschadigt een BEC-aanval ook het vertrouwen van klanten en partners. Als een aanvaller wekenlang onopgemerkt meeleest in je e-mailverkeer, weet niemand meer zeker welke informatie is onderschept. Dat herstellen kost tijd, energie en reputatie. De aanpak die dit risico verkleint: snelle detectie en directe respons, zodat een aanvaller geen tijd krijgt om voet aan de grond te krijgen.
Wat is phishing precies en hoe werkt het?
Phishing is een aanvalsmethode waarbij criminelen via e-mail, sms of berichten op platforms zoals WhatsApp proberen mensen te verleiden om op een link te klikken, inloggegevens in te voeren of een bijlage te openen. Het doel is toegang krijgen tot accounts, gegevens stelen of malware installeren. Phishing richt zich doorgaans op grote groepen mensen tegelijk, zonder specifieke persoon als doelwit.
Een phishing-aanval werkt door in te spelen op vertrouwen of urgentie. De aanvaller doet zich voor als een bekende partij, zoals je bank, Microsoft, de Belastingdienst of een pakketdienst. Het bericht wekt de indruk dat je snel moet handelen: je account wordt geblokkeerd, er is een betaling mislukt of er staat een pakket klaar. Die tijdsdruk zorgt ervoor dat mensen minder kritisch nadenken voordat ze klikken.
Phishing via WhatsApp volgt dezelfde logica, maar gebruikt het persoonlijke karakter van de app in zijn voordeel. Berichten komen binnen via een nummer dat eruitziet als dat van een familielid of collega. Ze vragen om geld over te maken, een code door te sturen of op een link te klikken. Omdat WhatsApp voelt als een vertrouwd kanaal, is de waakzaamheid lager dan bij e-mail.
Wat is een BEC-aanval en waarom is het zo gevaarlijk?
Een BEC-aanval (Business Email Compromise) is een gerichte aanval waarbij criminelen zich voordoen als een vertrouwde persoon binnen of rondom een organisatie, zoals een directeur, financieel manager of leverancier. Het doel is meestal het overschrijven van geld naar een frauduleuze rekening of het doorsturen van vertrouwelijke bedrijfsinformatie.
Wat een BEC-aanval zo gevaarlijk maakt, is de voorbereiding. Aanvallers bestuderen de organisatie vooraf: wie heeft welke rol, wie communiceert met wie, welke toon wordt gebruikt in interne e-mails. Vervolgens sturen ze een bericht dat perfect past bij de verwachtingen van de ontvanger. Er is geen verdachte link, geen bijlage met malware. Alleen een overtuigend verzoek van iemand die je denkt te kennen.
In veel gevallen hebben aanvallers al wekenlang toegang tot een e-mailaccount voordat ze toeslaan. Ze lezen mee, leren de communicatiestijl kennen en wachten op het juiste moment, bijvoorbeeld vlak voor een grote betaling of aan het einde van een kwartaal. Dat maakt BEC moeilijk te detecteren met traditionele beveiligingstools die alleen kijken naar technische signalen zoals malware of verdachte links.
Wat is het verschil tussen phishing en een BEC-aanval?
Phishing is breed en onpersoonlijk: één bericht gaat naar duizenden mensen tegelijk. Een BEC-aanval is gericht en persoonlijk: de aanvaller richt zich op één specifiek persoon of bedrijf, met een zorgvuldig voorbereide aanpak. Phishing probeert inloggegevens of klikken te stelen. BEC probeert geldtransacties of vertrouwelijke informatie los te krijgen via manipulatie en vertrouwen.
Het verschil zit ook in de technische aanpak. Phishing gebruikt vaak nep-domeinen, verdachte links of besmette bijlagen. Een BEC-aanval gebruikt soms een gehackt e-mailaccount of een domein dat sterk lijkt op het echte adres, zoals “rnaatschappij.nl” in plaats van “maatschappij.nl.” Standaard spamfilters pikken dit niet altijd op, omdat het bericht technisch gezien correct eruitziet.
Nog een belangrijk verschil: bij phishing is de schade vaak direct zichtbaar, bijvoorbeeld een gestolen wachtwoord of een geïnfecteerde computer. Bij BEC kan de schade pas weken later zichtbaar worden, wanneer een betaling al is gedaan of informatie al is gedeeld. Dat maakt BEC-aanvallen gemiddeld veel kostbaarder voor organisaties.
Welke vormen van phishing en BEC komen het meest voor?
De meest voorkomende vormen van phishing zijn e-mailphishing, smishing (via sms) en phishing via WhatsApp. Bij BEC zijn de meest voorkomende varianten CEO-fraude, factuurmanipulatie en het overnemen van een leveranciersaccount. Onderzoeksdata laat zien dat meer dan de helft van de organisaties jaarlijks te maken krijgt met BEC-pogingen.
Meest voorkomende phishing-vormen
- E-mailphishing: nep-berichten van banken, overheidsinstanties of bekende diensten zoals Microsoft 365 of DHL.
- Spear phishing: gerichte phishing op een specifiek persoon, met informatie die persoonlijk aanvoelt.
- Phishing via WhatsApp: berichten van nep-nummers die zich voordoen als familieleden, collega’s of helpdesks.
- Smishing: phishing via sms, vaak met een link naar een nep-betaalpagina of inlogformulier.
Meest voorkomende BEC-varianten
- CEO-fraude: een bericht dat lijkt te komen van de directeur, met een dringend verzoek om een betaling te doen.
- Factuurmanipulatie: de aanvaller onderschept een e-mail met een factuur en past het rekeningnummer aan.
- Leveranciersfraude: een aanvaller neemt het e-mailaccount van een leverancier over en stuurt vanuit dat account frauduleuze betalingsverzoeken.
- HR-fraude: een nep-medewerker vraagt de HR-afdeling om het rekeningnummer voor salarisuitbetaling te wijzigen.
Hoe herken je een phishing-e-mail of BEC-aanval?
Bij phishing let je op afwijkende afzenderadressen, urgente taal, generieke aanheffen en links die niet kloppen als je erover zweeft. Bij een BEC-aanval zijn de signalen subtieler: een ongebruikelijk verzoek van een bekende afzender, een licht afwijkend e-mailadres of een verzoek om buiten de normale procedure om te handelen.
Concrete signalen om phishing te herkennen:
- Het afzenderadres klopt niet, ook al ziet de naam er vertrouwd uit.
- De link in het bericht wijst naar een ander domein dan verwacht.
- Het bericht vraagt om inloggegevens, een wachtwoord of persoonlijke informatie.
- Er is tijdsdruk: “Reageer binnen 24 uur, anders wordt je account geblokkeerd.”
- De aanhef is generiek: “Beste gebruiker” of “Geachte klant.”
Bij een BEC-aanval zijn de signalen anders:
- Een verzoek om snel een betaling te doen, buiten het normale proces om.
- Een e-mailadres dat lijkt op dat van een collega of leidinggevende, maar net iets afwijkt.
- Een verzoek om vertrouwelijk te blijven over de transactie.
- De communicatiestijl is net iets anders dan normaal, ook al is de naam correct.
Twijfel je? Bel de persoon op via een bekend telefoonnummer, niet via het contactgegeven in het verdachte bericht. Die simpele stap voorkomt veel schade.
Waarom zijn MKB-bedrijven een populair doelwit?
MKB-bedrijven zijn aantrekkelijk voor aanvallers omdat ze vaak minder beveiligingsmaatregelen hebben dan grote ondernemingen, terwijl ze wel toegang hebben tot waardevolle gegevens en geld. Aanvallers weten dat een klein bedrijf minder snel geavanceerde detectiesystemen gebruikt en dat medewerkers minder getraind zijn in het herkennen van aanvallen.
Bovendien zijn MKB-bedrijven vaak onderdeel van de toeleveringsketen van grotere organisaties. Door een klein bedrijf te compromitteren, krijgt een aanvaller soms indirect toegang tot de systemen of contacten van een grotere partner. Dat maakt het MKB niet alleen een doelwit op zichzelf, maar ook een opstap naar grotere slachtoffers.
Een ander punt is de beperkte capaciteit. In een klein bedrijf heeft niemand de tijd om elke e-mail kritisch te beoordelen. Medewerkers dragen meerdere petten en handelen snel. Aanvallers spelen hier bewust op in door berichten te sturen op drukke momenten, met een urgente toon die aanzet tot handelen zonder nadenken.
Hoe bescherm je je bedrijf tegen phishing en BEC?
De effectiefste bescherming tegen phishing en BEC combineert technische maatregelen met bewustzijn bij medewerkers. Technische tools filteren verdachte berichten en detecteren ongewone activiteit in accounts. Bewustzijnstraining zorgt ervoor dat medewerkers weten wat ze moeten doen als ze twijfelen aan een bericht.
Concrete stappen die je kunt zetten:
- Activeer Multi-Factor Authenticatie (MFA) op alle zakelijke accounts, zodat een gestolen wachtwoord alleen niet genoeg is om in te loggen. Wij gebruiken hiervoor Cisco Duo.
- Gebruik een wachtwoordmanager zoals Keeper om sterke, unieke wachtwoorden te genereren en op te slaan voor elk account.
- Train medewerkers regelmatig in het herkennen van phishing-berichten, ook via WhatsApp en sms. Bewustzijn is een van de sterkste verdedigingslinies.
- Stel een verificatieproces in voor betalingen: elke betalingsopdracht boven een bepaald bedrag vereist telefonische bevestiging via een bekend nummer.
- Controleer e-mailinstellingen op automatisch doorsturen naar externe adressen. Aanvallers stellen dit in na een accountovername om mee te lezen.
- Activeer e-mailauthenticatie via SPF, DKIM en DMARC om te voorkomen dat aanvallers jouw domeinnaam misbruiken voor nep-berichten.
Technische maatregelen alleen zijn niet genoeg. Een aanvaller die een account heeft overgenomen, stuurt berichten vanuit een legitiem adres. Detectie vereist dan monitoring van gedragspatronen: logt iemand in op een vreemd tijdstip, vanuit een onbekende locatie of stuurt iemand opeens grote hoeveelheden e-mails? Dat zijn signalen die alleen zichtbaar worden als je actief monitort.
Hoe NTNT helpt bij bescherming tegen phishing en BEC
Bij NTNT begrijpen we dat je als MKB-ondernemer geen tijd hebt om de nieuwste aanvalstechnieken bij te houden. Toch ben je wel verantwoordelijk voor de beveiliging van je bedrijf. Daarom helpen wij je met concrete, werkbare maatregelen die aansluiten op jouw situatie.
Wat we voor je doen:
- Phishing-training en bewustwording: we trainen jouw medewerkers in het herkennen van phishing-berichten, ook via WhatsApp en sms, zodat ze weten wat ze moeten doen als ze twijfelen.
- MFA-implementatie met Cisco Duo: we zorgen dat alle zakelijke accounts zijn beveiligd met Multi-Factor Authenticatie, zodat een gestolen wachtwoord niet genoeg is voor een aanvaller.
- Wachtwoordbeheer met Keeper: we helpen je een sterk wachtwoordbeleid in te voeren, ondersteund door een betrouwbare wachtwoordmanager.
- Monitoring en detectie via Huntress: we bewaken jouw omgeving actief op verdachte activiteiten, zoals ongewone inlogpogingen of afwijkend e-mailgedrag dat kan wijzen op een BEC-aanval.
- Cyber Security Quickscan: binnen één werkdag krijg je inzicht in de kwetsbaarheden in jouw omgeving, met praktische aanbevelingen en duidelijke prioriteiten om direct actie te ondernemen.
Wil je weten hoe goed jouw bedrijf beschermd is tegen phishing en BEC? Neem contact op met ons team voor een vrijblijvend gesprek of vraag direct een Cyber Security Quickscan aan.