De ergste vorm van phishing is de vorm die je niet zomaar kunt negeren: zoals CEO Fraud. E-mails die zogenaamd van de overheid komen en je vertellen dat je die belasting moet betalen of dat je anders gerechtelijke stappen riskeert. E-mails die eruit zien alsof je school of universiteit ze heeft gestuurd, waarin je wordt gevraagd dat ene collegegeld te betalen dat je bent misgelopen. Of zelfs een bericht van je baas of CEO, waarin staat dat je "als gunst" geld moet overmaken.
Belangrijkste Conclusies
- CEO-fraude is een belangrijke bedreiging die elk jaar kan leiden tot miljoenen dollars verlies als gevolg van overtuigende phishing e-mails.
- Het voorlichten van werknemers over phishingtactieken en waarschuwingssignalen is cruciaal voor het voorkomen van fraudeaanvallen door CEO's.
- E-mailverificatieprotocollen zoals DMARC kunnen helpen onbevoegde e-mails te blokkeren voordat ze je postvak bereiken.
- Vraag altijd om expliciete goedkeuring via alternatieve kanalen voordat u een via e-mail aangevraagde overboeking verwerkt.
- Het controleren en markeren van e-mails van vergelijkbare domeinnamen kan het risico om slachtoffer te worden van phishingpogingen verkleinen.
Wat is CEO-fraude?
De CEO-fraudeaanval is een e-mail phishing-zwendel waarbij fraudeurs zich voordoen als de CEO van een bedrijf in een poging werknemers ervan te overtuigen geld naar hen te sturen. De e-mails bevatten meestal de echte naam en de zakelijke titel van de CEO van het bedrijf.
Het probleem met dit soort e-mails is dat ze zich voordoen als een autoriteitsfiguur, of dat nu de overheid is, het bestuur van je universiteit of je baas op het werk. Dit zijn belangrijke mensen en het negeren van hun berichten zal vrijwel zeker ernstige gevolgen hebben. Je wordt dus gedwongen ze te bekijken en als het overtuigend genoeg lijkt, trap je er misschien wel in.
Bescherm uzelf tegen CEO-fraude met PowerDMARC!
Je bent niet immuun voor CEO-fraude
Het is een zwendel van $2,3 miljard per jaar. Je vraagt je misschien af: "Waarom zouden bedrijven zoveel geld verliezen aan een eenvoudige e-mailoplichting?". Maar je zou verbaasd zijn hoe overtuigend CEO-fraude e-mails kunnen zijn.
In 2016 verloor Mattel bijna 3 miljoen dollar door een phishingaanval toen een financieel manager een e-mail ontving van de CEO met de instructie om een betaling te sturen naar een van hun leveranciers in China. Maar pas nadat ze het later met de CEO had nagevraagd, realiseerde ze zich dat hij de e-mail nooit had verstuurd. Gelukkig werkte het bedrijf samen met wetshandhavers in China en de VS om hun geld een paar dagen later terug te krijgen, maar dat gebeurt bijna nooit bij dit soort aanvallen.
Mensen hebben de neiging te geloven dat deze zwendel hen niet zal overkomen... totdat het hen overkomt. En dat is hun grootste fout: zich niet voorbereiden op CEO-fraude.
Phishing-zwendel kan uw organisatie niet alleen miljoenen euro's kosten, het kan ook een blijvende impact hebben op de reputatie en geloofwaardigheid van uw merk. Dit geldt met name voor sectoren als de advocatuur, waar vertrouwen en online zichtbaarheid hand in hand gaan - en waar sterke juridische SEO-praktijken de manier waarop potentiële klanten uw bedrijf vinden en beoordelen in alle rust kunnen bepalen. U loopt het risico te worden gezien als het bedrijf dat geld heeft verloren aan een e-mailoplichting en het vertrouwen te verliezen van uw klanten wier gevoelige persoonlijke informatie u opslaat.
In plaats van achteraf de schade te beperken, is het veel zinvoller om uw e-mailkanalen te beveiligen tegen spear phishing-zwendel zoals deze. Hier zijn enkele van de beste manieren om ervoor te zorgen dat uw organisatie geen statistiek wordt in het FBI-rapport over BEC.
Hoe CEO-fraude voorkomen: 6 eenvoudige stappen
- Geef uw personeel voorlichting over de beveiligings
Dit is absoluut cruciaal. Uw medewerkers – en met name die op de financiële afdeling – moeten begrijpen hoe Business Email Compromise werkt. En dan bedoelen we niet zomaar een saaie presentatie van twee uur over het niet opschrijven van je wachtwoord op een post-it. U moet hen leren hoe ze verdachte signalen kunnen herkennen die erop wijzen dat een e-mail vals is, hoe ze op vervalste e-mailadressen moeten letten en hoe ze abnormale verzoeken kunnen herkennen die andere medewerkers via e-mail lijken te doen. - Let op de kenmerkende signalen van spoofing
E-mailoplichters gebruiken allerlei tactieken om je ertoe te brengen aan hun verzoeken te voldoen. Dit kan variëren van dringende verzoeken of instructies om geld over te maken – om je ertoe aan te zetten snel en zonder na te denken te handelen – tot het vragen om toegang tot vertrouwelijke informatie voor een ’geheim project’ dat de leidinggevenden nog niet met je willen delen. Dit zijn ernstige alarmsignalen, en u moet alles twee- of zelfs driemaal controleren voordat u ook maar enige actie onderneemt. - Bescherm uzelf met DMARC
De eenvoudigste manier om phishing te voorkomen, is door de e-mail überhaupt nooit te ontvangen. DMARC is een protocol voor e-mailverificatie dat e-mails afkomstig van uw domein controleert voordat ze worden afgeleverd. Wanneer u DMARC op uw domein toepast, wordt elke aanvaller die zich voordoet als iemand uit uw eigen organisatie gedetecteerd als een onbevoegde afzender, en wordt diens e-mail geblokkeerd zodat deze niet in uw inbox terechtkomt. U hoeft zich dan helemaal geen zorgen te maken over vervalste e-mails.
Leer wat DMARC is.
- Vraag uitdrukkelijke toestemming voor overschrijvingen
Dit is een van de gemakkelijkste en meest eenvoudige manieren om te voorkomen dat geld naar de verkeerde personen wordt overgemaakt. Maak het verplicht om, voordat een transactie wordt uitgevoerd, uitdrukkelijke toestemming te vragen aan de persoon die om geld vraagt, via een ander kanaal dan e-mail. Voor grotere overschrijvingen moet mondelinge bevestiging verplicht worden gesteld. Veel bedrijven maken ook gebruik van beveiligde creditcards als alternatief voor overschrijvingen, wat een betere bescherming tegen fraude biedt. - E-mails met vergelijkbare domeinextensies markeren
De FBI raadt uw organisatie aan om systeemregels in te stellen die automatisch e-mails markeren waarvan de domeinextensie te veel lijkt op die van uw eigen organisatie. Als uw bedrijf bijvoorbeeld ‘123-business.com’ gebruikt, zou het systeem e-mails met domeinextensies zoals ‘123_business.com’ kunnen detecteren en markeren. - Koop vergelijkbare domeinnamen
Aanvallers maken vaak gebruik van domeinnamen die op elkaar lijken om phishing-e-mails te versturen. Als de naam van uw organisatie bijvoorbeeld een kleine letter ‘i’ bevat, kunnen ze een hoofdletter ‘I’ gebruiken of de letter ‘E’ vervangen door het cijfer ‘3’. Door dit te doen, verkleint u de kans dat iemand een zeer vergelijkbare domeinnaam gebruikt om u e-mails te sturen.
- Wat is TLS-rapportage? Hoe SMTP TLS-rapporten fouten bij de bezorging van e-mails opsporen - 9 juli 2026
- De beste DMARC MCP-servers in 2026: koppel AI aan uw e-mailauthenticatiegegevens - 9 juli 2026
- DMARC MSP-casestudy: The Great Geek breidt e-mailbeveiligingsdiensten voor het MKB uit met PowerDMARC - 25 juni 2026

