McAfee Total Protection
Antivirus
Virtueel privénetwerk (VPN)
Mobile Security
Webbeveiliging
PC Optimalisatie
Virusverwijdering 
Overzicht van bedrijf
Awards en reviews
Investeerders
Inclusie en diversiteit
Integriteit en ethiek
Openbaar beleid
Vacatures
Werken bij McAfee
Onze teams
Onze locaties
McAfee-blog
McAfee Labs
McAfee op YouTube
McAfee Perscentrum
Leren bij McAfee 
Wat is identiteitsdiefstal?
Klantondersteuning
Veelgestelde vragen
Contact opnemen
Winkelkaart activeren
Home
Is het echt uw baas? CEO-fraude uitgelegd
Stel, u ontvangt een dringende e-mail van de CEO van uw bedrijf, die om een vertrouwelijke en onmiddellijke overboeking verzoekt en u waarschuwt voor ernstige gevolgen als er niet direct aan het verzoek wordt voldaan. U komt snel in actie, maar later ontdekt u dat de e-mail helemaal niet van uw baas afkomstig was. Dit alarmerende scenario voltrekt zich bij bedrijven over de hele wereld en leidt tot miljoenen aan schade.
Nu imitatietactieken steeds overtuigender worden, is het belangrijker dan ooit om de rode vlaggen te herkennen en meer inzicht te krijgen in hoe deze oplichtingspraktijken werken. In dit artikel leest u wie meestal het doelwit is van CEO-fraude, hoe u de tekenen van deze oplichtingstruc herkent en hoe u uw organisatie kunt helpen beschermen tegen deze cyberbedreiging.
Wat is CEO-fraude?
CEO-fraude is een vorm van spearphishing waarbij cybercriminelen een gerichte e-mail sturen die afkomstig lijkt te zijn van de directeur of een andere hooggeplaatste leidinggevende van het bedrijf. Het doel van de e-mail is om een werknemer ertoe te brengen geld over te maken of gevoelige gegevens te delen. Dit is een specifieke en zeer effectieve variant uit een bredere categorie aanvallen die bekend staat als “oplichting via zakelijke e-mail”.
Bij CEO-fraude wordt in essentie misbruik gemaakt van het vertrouwen van medewerkers en de autoriteit van het management van een bedrijf. Het voornaamste doel van dit soort fraude is een werknemer van de financiële of HR-afdeling over te halen een ongeoorloofde overschrijving te doen naar de rekening van de crimineel. Tot de categorie CEO-fraude behoren ook oplichtingstrucs die gericht zijn op het stelen van waardevolle gegevens, zoals klantenlijsten en belastinggegevens van werknemers. Deze gegevens worden vervolgens verkocht of voor andere frauduleuze activiteiten gebruikt.
CEO-fraude versus whaling
Zowel CEO-fraude als whaling zijn zeer gerichte social engineering-aanvallen, maar ze hebben andere doelwitten en andere doelstellingen. CEO-fraude houdt in dat een oplichter zich voordoet als een hooggeplaatste leidinggevende om een werknemer over te halen een ongeoorloofde actie uit te voeren, zoals het overmaken van geld of het delen van vertrouwelijke gegevens. De werknemer is het doelwit van het bedrog.
Whaling is daarentegen een vorm van phishing die rechtstreeks gericht is op de hogere leidinggevenden zelf, de walvissen of grote vissen. Het doel van een whaling-aanval is om de leidinggevende persoonlijke inloggegevens of gevoelige bedrijfsgegevens te ontfutselen die vervolgens kunnen worden gebruikt om grotere aanvallen uit te voeren.
Sluwe, uitgekiende cybercriminaliteit
Een CEO-fraudeaanval is een zorgvuldig beraamde oplichtingstactiek waarbij gebruik wordt gemaakt van technische en social engineering-trucs. De eerste stap is meestal de verkenning: de oplichters bestuderen het organigram van een bedrijf, stellen vast wie de belangrijkste personeelsleden zijn op de financiële afdeling en maken zich vertrouwd met de communicatiestijl van de CEO.
Vervolgens passen ze e-mailspoofing toe, zodat het bericht eruitziet alsof het rechtstreeks van het e-mailadres van de leidinggevende afkomstig is. In het frauduleuze verzoek wordt op slimme wijze de nadruk gelegd op urgentie en vertrouwelijkheid om geen achterdocht te wekken. De aanvaller beweert bijvoorbeeld dat hij met een geheime fusie bezig is of dringend een belastingaanslag moet betalen die onmiddellijk en zonder discussie moet worden verwerkt. Op die manier wordt er druk uitgeoefend, zodat de werknemer geen tijd heeft om na te denken of het verzoek te verifiëren.
Zeer winstgevende oplichting
CEO-fraude komt steeds vaker voor, omdat het ongelooflijk winstgevend is voor cybercriminelen en in de huidige digitale wereld gemakkelijk uit te voeren is. Daar komt nog bij dat de hedendaagse externe en hybride werkmodellen onbedoeld nieuwe kwetsbaarheden hebben gecreëerd.
Voorheen kon een werknemer bijvoorbeeld snel even iets navragen door naar het bureau van een collega te lopen. Maar dat is nu niet altijd meer mogelijk, waardoor een frauduleuze, urgente “e-mail van de CEO” meer kans van slagen heeft.
→ Graaf dieper: De 9 meestvoorkomende vormen van oplichting op social media – en hoe u ze herkent voor het te laat is
De primaire doelwitten van CEO-fraude
Bij CEO-fraude worden slachtoffers zorgvuldig bestudeerd en geprofileerd door de aanvallers. Hierbij ligt de focus op personen en afdelingen die hoogstwaarschijnlijk toegang hebben tot gevoelige financiële gegevens of de bevoegdheid hebben om geld over te maken. Hieronder vindt u een paar voorbeelden van primaire doelwitten van CEO-fraude. Hebt u een van deze functies, wees dan voortdurend alert op dit soort aanvallen:
- Medewerkers financiële afdeling en crediteurenadministratie: Deze medewerkers zijn de belangrijkste doelwitten omdat ze rechtstreeks toegang hebben tot bedrijfsmiddelen en bevoegd zijn om betalingen en overschrijvingen te verwerken. Aanvallers maken misbruik van de taak die deze medewerkers hebben om uitvoering te geven aan verzoeken van het management – met name urgente verzoeken.
- HR-professionals: HR-afdelingen beschikken over een schat aan persoonsgegevens van werknemers en zijn om die reden een primair doelwit voor gegevensdiefstal geworden. Oplichters doen zich voor als leidinggevenden om gevoelige werknemersgegevens op te vragen, zoals loonlijsten, belastingformulieren en andere persoonsgebonden informatie die gebruikt kan worden voor identiteitsdiefstal en andere soorten fraude.
- Managementassistenten en administratief medewerkers: Deze personen werken nauw samen met hooggeplaatste leidinggevenden en moeten vaak logistieke en financiële zaken namens hen afhandelen, zoals het boeken van reizen of het inkopen van materialen. Oplichters richten zich tot deze medewerkers met verzoeken om cadeaubonnen of het afhandelen van kleine, ogenschijnlijk legitieme betalingen die later frauduleus blijken te zijn.
- Nieuwe of jongere werknemers: Nieuwe medewerkers zijn mogelijk minder bekend met de betaalprotocollen van het bedrijf en willen graag behulpzaam overkomen. Cybercriminelen spelen in op dit gebrek aan ervaring en hopen dat de nieuwe werknemer een frauduleus verzoek inwilligt zonder de legitimiteit ervan in twijfel te trekken.
De rode vlaggen van een CEO-imitatie herkennen
Een oplichtings-e-mail die van de CEO afkomstig lijkt te zijn, wordt zeer zorgvuldig in elkaar gezet om een werknemer in paniek te brengen en een fout te laten maken. Nuchter en helder blijven denken en voortdurend waakzaam blijven, zijn de beste verdediging tegen deze vorm van oplichting. Als u de subtiele en minder subtiele rode vlaggen leert herkennen, kunt u deze oplichtingspraktijken in de kiem smoren. Daarnaast moet elke werknemer – niet alleen de werknemers op de financiële afdeling – getraind worden om de onderstaande waarschuwingssignalen te herkennen die vaak duiden op een kwaadaardig verzoek.
- Druk uitoefenen: De e-mail dringt aan op extreme urgentie of geheimhouding. Zinnen als “Dit moet nu gebeuren”, “Handel dit discreet af” of “Ik zit in een vergadering en kan niet praten” worden gebruikt om u onmiddellijk tot actie aan te zetten zonder het verzoek te verifiëren.
- Ongebruikelijk verzoek: Het bericht vraagt om een actie die buiten de normale bedrijfsprocedures valt. Dit kan een verzoek zijn om een vereiste goedkeuringsstap te omzeilen, geld naar een onbekende internationale rekening over te maken of cadeaubonnen te kopen.
- Onjuiste e-mailgegevens: Kijk goed naar het e-mailadres van de afzender. Oplichters gebruiken vaak een weergavenaam die er correct uitziet, maar het daadwerkelijke adres is van een gratis e-mailprovider zoals @gmail.com, of is terug te leiden naar een iets verkeerd gespelde versie van het e-maildomein van uw bedrijf, zoals CEO@compaany.com.
- Veranderingen in toon of stijl: Het taalgebruik in de e-mail doet enigszins vreemd aan. Misschien is het iets te formeel of te informeel in vergelijking met de gebruikelijke communicatiestijl van de leidinggevende, of er zitten vreemde taal- en spelfouten in.
- Beperking van communicatiekanalen: De afzender stelt nadrukkelijk dat er geen telefonisch contact met hem of haar mag worden opgenomen of dat er niet met anderen in de organisatie over het verzoek mag worden gesproken. Als reden wordt vaak opgegeven dat de afzender het te druk heeft of dat de kwestie zeer vertrouwelijk is. Dit is een tactiek om verificatie te voorkomen.
Meer dan geld: de echte kosten van CEO-fraude
CEO-fraude is een bedreiging die bedrijven over de hele wereld al miljarden heeft gekost. De onderstaande waargebeurde incidenten laten zien hoe zelfs gevestigde organisaties in geraffineerde social engineering-tactieken kunnen trappen.
- De deepfake-videovergadering van $ 25 miljoen: Begin 2024 werd een financieel medewerker van een multinational overgehaald om $ 25 miljoen uit te betalen nadat hij een videovergadering had bijgewoond met mensen waarvan hij dacht dat het de CFO en andere hogere leidinggevenden van het bedrijf waren. De “collega’s” die deelnamen aan het gesprek, waren in werkelijkheid deepfake-versies van de echte personen. De geraffineerde aanval werd in gang gezet door een verdachte e-mail, maar won aan geloofwaardigheid door het zeer realistische videogesprek. Dit incident illustreert een angstaanjagende escalatie in de hedendaagse oplichtingstactieken.
- Het verlies van € 19 miljoen door bioscoopketen Pathé: De Nederlandse divisie van de grote bioscoopketen Pathé raakte meer dan € 19 miljoen kwijt aan een klassieke CEO-fraudetruc. Oplichters deden zich voor als leidinggevenden van het Franse moederbedrijf en gebruikten vervalste e-mails om de Nederlandse CEO en CFO een reeks “dringende” overschrijvingen te laten doen voor een zogenaamde vertrouwelijke overname in Dubai. De aanvallers zetten geheimhouding en autoriteit als middel in om de leidinggevenden over te halen de standaardprocedures te omzeilen.
Het aanvankelijke financiële verlies van CEO-fraude kan verwoestend zijn, maar de werkelijke kosten reiken veel verder dan het gestolen geld. De nasleep brengt vaak aanzienlijke bijkomende kosten met zich mee, zoals dure forensische onderzoeken om de omvang van de inbreuk vast te stellen, juridische kosten en mogelijke boetes als gevoelige gegevens gecompromitteerd zijn.
Nog schadelijker is de schending van vertrouwen. Een aanval kan de reputatie van een bedrijf bij klanten, partners en investeerders ernstig schaden, waardoor het onderhouden van zakelijke relaties moeilijk wordt. Intern kan een dergelijk incident de carrière en het moreel van werknemers beschadigen en leiden tot een cultuur van achterdocht en beschuldigingen die de samenwerking en productiviteit belemmert. Vanwege deze reeks van gevolgen moet proactieve preventie een essentiële bedrijfsstrategie zijn.
De opkomst van oplichting met spraaknabootsing via deepfakes en AI
De volgende evolutie in CEO-fraude is het gebruik van kunstmatige intelligentie om zeer overtuigende deepfakes te maken. Cybercriminelen hebben nu meer mogelijkheden dan alleen e-mails met tekst. Met slechts een klein audiofragment van een openbaar interview of een post op social media kunnen ze de stem van een leidinggevende klonen om die vervolgens te gebruiken in een voice phishing (vishing)-aanval.
Stel u voor dat u een voicemail ontvangt die precies klinkt als uw CEO. In die voicemail wordt u gevraagd om een dringende betaling te verwerken en daarna de CEO hiervan via sms een bevestiging te sturen. Deze opkomende technologie maakt het lastiger om te vertrouwen op traditionele rode vlaggen zoals taalfouten of een onbekende toon. Daarmee wordt een belangrijke waarheid nog eens bevestigd: de krachtigste verdediging is procedureel.
Hoe overtuigend een bericht ook lijkt, verifieer het altijd via een ander kanaal. Bel de leidinggevende bijvoorbeeld terug op zijn of haar officiële, bekende telefoonnummer voordat u actie onderneemt naar aanleiding van een gevoelig verzoek.
Uw organisatie beschermen tegen CEO-fraude
Effectieve fraudepreventie vereist een proactieve beveiligingsstrategie die uit meerdere lagen bestaat. In die strategie moeten technologie, robuuste processen en doorlopende voorlichting van werknemers worden gecombineerd om bedrijfsmiddelen en gevoelige gegevens te beschermen tegen vormen van CEO-fraude die steeds geraffineerder worden. Door deze best practices te volgen, kunt u een sterke verdediging opbouwen en een cultuur scheppen waarin werknemers zich bewust zijn van het belang van beveiliging en zich gesterkt voelen om verdachte verzoeken in twijfel te trekken.
- Volg de standaardverificatie via meerdere kanalen: Voor elk verzoek waarbij geld wordt overgemaakt of gegevens openbaar worden gemaakt, moet u strikt het standaardverificatieprotocol volgen. Dit betekent dat u het verzoek moet bevestigen via een ander communicatiekanaal, zoals een rechtstreeks telefoontje naar een bekend nummer of een persoonlijk gesprek. Gebruik nooit de contactgegevens die in de verdachte e-mail staan.
- Woon regelmatig trainingen voor werknemers bij: Wanneer uw bedrijf een training aankondigt over de gevaren van CEO-fraude en andere phishingaanvallen, moet u indien mogelijk alle sessies bijwonen, zeker als u een financiële, uitvoerende ondersteunende of HR-functie hebt. Gebruik de voorbeelden van frauduleuze e-mails uit de praktijk als hulpmiddel om rode vlaggen te herkennen.
- Gebruik geavanceerde e-mailbeveiliging: Zorg ervoor dat de moderne oplossingen voor e-mailbeveiliging die uw bedrijf aanbiedt, op al uw apparaten worden gebruikt. Deze oplossingen markeren verdachte e-mails automatisch doordat ze oplichting door imitatie en e-mails van buiten de organisatie detecteren.
- Houd u aan duidelijke financiële controles: Als u werkt op het gebied van financiën of inkoop, moet u het beleid strikt opvolgen en zorgen voor dubbele goedkeuring voor elke overboeking of betaling boven een bepaalde drempel. U kunt dan niet persoonlijk onder druk worden gezet om geld te sturen zonder een tweede controle.
Phishingsimulaties als training
Phishingsimulaties zijn een krachtig, proactief hulpmiddel om uw werknemers een belangrijke rol te laten spelen in uw beveiliging. Bij deze oefeningen worden veilige, gesimuleerde phishing-e-mails, inclusief nep-e-mailberichten over CEO-fraude, in een gecontroleerde omgeving naar uw personeel gestuurd.
Daarbij gaat het er niet om werknemers voor de gek te houden of te straffen, maar om praktische, praktijkgerichte training te geven. Door bij te houden wie er klikt, kunt u meten hoe effectief uw programma’s voor beveiligingsbewustwording zijn en gebieden identificeren die verbetering behoeven.
Het belangrijkste is dat de simulaties waardevolle “leermomenten” creëren, door onmiddellijk feedback te geven aan werknemers die erin trappen en hen te leren hoe ze rode vlaggen in de praktijk kunnen herkennen. Dit proces versterkt uw menselijke firewall, zodat uw hele organisatie beter bestand is tegen pogingen tot oplichting via CEO-fraude.
Stappen die u moet ondernemen als u slachtoffer wordt van CEO-fraude
Slachtoffer worden van CEO-fraude kan veel stress opleveren en ernstige gevolgen hebben. Een snelle, georganiseerde reactie kan de schade echter aanzienlijk beperken en uw kansen op herstel verbeteren. Als u denkt dat u zojuist slachtoffer bent geworden, moet u dit onmiddellijk en in de dagen daarna doen:
- Onderneem meteen actie om het geld tegen te houden: Neem zodra u vermoedt dat er een frauduleuze overboeking heeft plaatsgevonden, contact op met uw financiële instelling om te vragen het geld terug te halen. Laat uw bank vervolgens contact opnemen met de ontvangende bank om de rekening te blokkeren. Tijd is cruciaal, dus dit moet uw eerste stap zijn.
- Waarschuw de interne leiding: Stel de leiding van uw bedrijf, de beveiligings-/IT-afdeling en het juridische team op de hoogte van de inbreuk. Zij moeten van de situatie afweten om het incidentresponsplan van het bedrijf in werking te stellen en de omvang van de schade te beoordelen.
- Bewaar alle bewijsmateriaal: Verwijder niets. Bewaar de originele frauduleuze e-mails, alle communicatie hierover en relevante transactielogboeken. Dit bewijs is cruciaal voor het onderzoek door de wetshandhavingsinstanties en voor uw eigen interne beoordeling.
- Doe melding bij de wettelijke instanties: Dien een gedetailleerd rapport in bij de juiste wetshandhavingsinstanties. Bedrijven in Nederland moeten zo snel mogelijk contact opnemen met de politie en/of het Nationaal Cyber Security Centrum. In sommige gevallen kan het gestolen geld nog worden teruggehaald.
- Voer een evaluatie van het incident uit: Zodra de onmiddellijke crisis onder controle is, voert u een grondige interne audit uit. Analyseer hoe het CEO-fraude-incident heeft kunnen plaatsvinden, identificeer zwakke plekken in uw processen of systemen, en implementeer corrigerende maatregelen en aanvullende training om aanvallen in de toekomst te voorkomen.
Veelgestelde vragen over CEO-fraude
Wat is het verschil tussen CEO-fraude en gewone phishing?
Gewone phishing werpt een breed net uit om elke vis te vangen. Oplichters sturen daarbij algemene e-mails naar duizenden mensen in de hoop dat er een paar toehappen. CEO-fraude is een vorm van spearphishing, waarbij een specifiek lokmiddel wordt gebruikt om een specifieke vis te vangen. Het is een zeer gerichte aanval waarbij oplichters zich als een specifieke leidinggevende voordoen om een specifieke werknemer te misleiden. Daarbij gebruiken ze informatie die ze over uw bedrijf hebben verzameld om het verzoek legitiem te laten lijken.
Is onze spamfilter voldoende om deze vorm van oplichting tegen te houden?
Een goede spamfilter is weliswaar een belangrijke verdedigingslaag, maar is vaak niet genoeg om geraffineerde CEO-fraude tegen te houden. Deze frauduleuze e-mails zijn zorgvuldig samengesteld om de gebruikelijke spamtriggers te omzeilen. Ze bevatten meestal geen schadelijke links of bijlagen en worden niet in grote aantallen verstuurd, waardoor ze langs filters kunnen glippen die op zoek zijn naar massale mailingcampagnes.
Waarom vragen oplichters om cadeaubonnen?
Oplichters willen graag cadeaubonnen omdat die niet kunnen worden getraceerd. Zodra u het kaartnummer en de PIN-code deelt, kan de oplichter het bedrag onmiddellijk verzilveren of de kaart op het dark web verkopen. In tegenstelling tot een bankoverschrijving, die een digitaal spoor achterlaat en soms kan worden teruggedraaid, zijn cadeaubontransacties snel, anoniem en onomkeerbaar. Vanwege het lage risico en de hoge beloning zijn ze dus populair bij criminelen achter dit soort CEO-fraude.
Kan ik in de problemen komen als ik in CEO-fraude trap?
Het is logisch dat u zich zorgen maakt, maar onthoud dat deze aanvallen door professionele criminelen zijn ontworpen om misbruik te maken van de menselijke psychologie en technische verdedigingen te omzeilen. In een ondersteunende bedrijfscultuur is dit bekend. Het allerbelangrijkste is dat een vermoedelijk incident onmiddellijk wordt gemeld, zonder bang te zijn dat u er de schuld van krijgt. Bij een snelle melding is de kans het grootst dat het geld terug kan worden gehaald. Bovendien laat u hiermee zien dat u een verantwoordelijke werknemer bent. Na het incident moet de focus liggen op de geleerde lessen, om de verdediging voor iedereen te versterken.
Tot slot
Terwijl cybercriminelen hun tactieken blijven verfijnen, is uw sterkste verdediging een proactieve en uniforme houding als het om beveiliging gaat. Door een cultuur te scheppen waarin elke werknemer zich zeker genoeg voelt om verzoeken in twijfel te trekken en te verifiëren, bouwt u een krachtige menselijke firewall op. Onthoud dat sterke processen, voortdurende bewustmaking en verificatie de sleutels zijn om uw organisatie te beschermen tegen de dreiging van CEO-fraude.
