Business Email Compromise (BEC) misbruikt psychologie, vertrouwen en bestuurlijke hectiek in plaats van technische kwetsbaarheden. Criminelen volgen bestuursvergaderingen via openbare agenda’s, analyseren LinkedIn-profielen, gebruiken gelekte mailboxen en schrijven vervolgens perfect getimede berichten die inspelen op lopende aanbestedingen of crisisoverleggen. Omdat de boodschap meestal geen links, bijlagen of malware bevat, beschouwen traditionele e-mailfilters het bericht als volledig legitiem. Binnen Nederlandse overheidsorganisaties met veel mandaatlagen, plaatsvervangende directies en internationale subsidietrajecten ontstaat daardoor een context waarin één geloofwaardig verzoek volstaat om honderdduizenden euro’s te verplaatsen.
NCSC-cijfers tonen voor 2023 al €28 miljoen aan gemelde schade in de publieke sector, maar het werkelijke bedrag ligt beduidend hoger omdat reputatieschade en juridische claims zelden openlijk worden gedeeld. De Nederlandse Baseline voor Veilige Cloud, BIO en NIS2 benadrukken dat bestuurders persoonlijk verantwoordelijk blijven voor preventieve controles. Een volwassen aanpak combineert daarom robuuste technische authenticatie zoals DMARC/DKIM/SPF met strak gedocumenteerde verificatieprocessen, financiële functiescheiding, realtime monitoring en doorlopende training. Alleen zo wordt BEC behandeld als wat het is: een strategische dreiging die het hart van de financiële governance raakt.
Voor CFO’s, controllers, treasury- en inkoopteams in de publieke sector. We koppelen BEC-scenario’s aan concrete beheersmaatregelen: DMARC/DKIM/SPF, verificatieprocedures vóór betalingen, functiescheiding, awarenessprogramma’s, logging, terugboekpogingen en aangifteprocessen.
Verplicht telefonische bevestiging (via een zelfstandig opgezocht nummer in het leveranciersdossier) voor elke internationale betaling boven €5.000. Een ministerie verloor €240.000 doordat een gecompromitteerde directiemail perfect klonk en rechtstreeks werd goedgekeurd. Eén telefoontje van twee minuten had de fraude gestopt.
Aanvalsplaybooks: CEO- en leveranciersfraude
BEC-campagnes beginnen vaak met maandenlange observatie waarbij criminelen beleidsdocumenten, vergaderstukken en aanbestedingskalenders downloaden om te begrijpen welke besluiten binnenkort geldstromen vrijmaken. Ze kijken wie waarnemend directeur is tijdens vakanties, welke managementassistenten doorsturen naar financiën en welke externe adviseurs meelezen. Wanneer deze informatie is verzameld, creëren zij lookalike domeinen die nauwelijks van het echte adres te onderscheiden zijn of kapen zij de mailbox van een externe partner die zwakke MFA gebruikt. Het eerste bericht is zelden een betalingsverzoek; het doel is vertrouwen opbouwen, agenda’s synchroniseren en jargon kopiëren zodat latere instructies identiek voelen aan de interne communicatiestijl.
CEO-fraude benut autoriteit en urgentie als wapens. Een mail met het onderwerp “vertrouwelijk dossier – alleen jij en ik” verwijst naar een reëel gesprek uit het directieverslag en bevat een geloofwaardige reden waarom controles moeten worden overgeslagen, zoals een vermeende overname die onder de Wet open overheid stil moet blijven. Medewerkers die net promotie hebben gekregen voelen zich vereerd en willen zich bewijzen, waardoor ze minder geneigd zijn om een vraagstellende toon aan te nemen. Aanvallers gebruiken ook tijdsdruk door berichten vlak voor het einde van de werkdag te sturen, wetende dat financiën dan onderbezet is en escalatiekanalen slechter bereikbaar zijn. Zodra een eerste kleine uitbetaling lukt, volgt een tweede verzoek met hogere bedragen onder dezelfde vertrouwelijke noemer.
Leveranciersfraude werkt subtieler omdat de aanvaller meeleest met echte e-mailthreads tussen een gemeente en bijvoorbeeld een bouwconsortium. Door zich in het gesprek te mengen op het moment dat een factuur wordt verwacht, volstaat het aanpassen van het IBAN op een identieke PDF of het meesturen van een zogenaamd geactualiseerd leveranciersformulier. Omdat de tone of voice en het logo exact overeenkomen, lijkt de verandering routinematig. Bovendien worden verzoeken vaak gekoppeld aan een legitieme reden, zoals migratie naar een nieuwe bank in verband met sanctieregimes, waardoor medewerkers de wijziging als noodzakelijk zien. Zonder controle via een ander kanaal kan de hele kwartaalbetaling in verkeerde handen vallen voordat iemand de afwijking in het grootboek ontdekt.
Een derde variant is ketencompromittatie waarbij meerdere tussenpersonen worden benut. Stel dat een ministerie werkt via een shared service organisatie die accounts payable uitvoert. Een aanvaller compromitteert eerst de mailbox van een kleine regionale leverancier, stuurt daarmee een bericht naar de shared service met een wijzigingsverzoek en gebruikt vervolgens de reply-to van die shared service om weer bij het ministerie binnen te komen. Hierdoor lijkt de communicatie volledig binnen vertrouwde kanalen plaats te vinden. Het toont waarom functiescheiding alleen werkt als elke schakel ook over robuuste verificatie beschikt en securityteams inzicht hebben in de volledige communicatieketen.
Effectieve verdediging begint daarom bij het inzichtelijk maken van deze playbooks in de risicoanalyse. Beschrijf in de Nederlandse Baseline voor Veilige Cloud welke scenario’s het grootste financiële en reputatierisico vormen, map ze naar concrete processen en wijs eigenaars toe. Simuleer regelmatig BEC-aanvallen met realistische scripts waarin bestuursleden daadwerkelijk worden gerepliceerd, zodat teams ervaren hoe moeilijk het is om authenticiteit alleen op basis van schrijfstijl te beoordelen. Wanneer medewerkers zien dat zelfs ervaren controllers tijdens een oefening bijna in de val lopen, ontstaat de culturele ruimte om rustig een verificatie te doen, ook al lijkt dat onbeleefd naar een bestuurder.
Technische waarborgen: SPF, DKIM, DMARC en monitoring
Een BEC-aanval die zich voordoet als een bestuurslid moet in de eerste verdedigingslinie stranden dankzij domeinauthenticatie. Start met het herontwerpen van SPF-records zodat alleen werkelijk gebruikte verzendende systemen zoals Microsoft 365, ServiceNow of het aanbestedingsplatform zijn opgenomen en sluit altijd af met -all. Veel organisaties laten historische IP-adressen in SPF staan waardoor aanvallers eenvoudig binnen de toegestane range een relay kunnen vinden. Combineer dit met DKIM-handtekeningen op alle primaire en subdomeinen, inclusief marketing- en berichtendiensten, zodat ontvangers cryptografisch kunnen vaststellen dat het bericht onderweg niet is aangepast. Pas vervolgens DMARC gefaseerd toe: een monitorfase met p=none levert zicht op afwijkende bronnen, maar plan al bij voorbaat hoe je naar quarantine en uiteindelijk reject groeit en gebruik rapportagedata om schaduw-IT-diensten die mail versturen te saneren.
DMARC-rapportages bevatten rijke telemetrie die vaak ongebruikt blijft. Door de XML-bestanden dagelijks te parseren en te koppelen aan Sentinel of Defender for Office 365 ontstaat een near-realtime overzicht van spoofpogingen, domeinsquats en misconfiguraties. Bouw dashboards die financiële controllers kunnen raadplegen zodat zij zien dat een verdachte domeinvariant opduikt vlak voordat zij een betalingsverzoek krijgen. Combineer DMARC-data met threat-intelligencefeeds van het NCSC, zodat bekende BEC-infrastructuur direct wordt geblokkeerd via Azure Firewall of Microsoft Defender XDR. Wanneer een nieuw domein wordt geregistreerd dat sterk lijkt op jouw organisatie, kan een Sentinel playbook automatisch een waarschuwing naar communicatie en financiën sturen zodat zij extra alert zijn.
Technische waarborgen gaan verder dan e-mailauthenticatie. Zorg dat alle financiële mailboxes meervoudige authenticatie met phishing-resistente factoren gebruiken, bijvoorbeeld FIDO2-sleutels, en verplicht dat gevoelige workflows alleen in beveiligde browsers draaien via Microsoft Defender for Endpoint Application Control. Activeer mailbox auditing, traceer forwarding rules en laat Defender for Office 365 alerts genereren bij afwijkende inboxregels of massale verwijderingen. Richt beleid in waarbij financiële teams uitsluitend vanuit managed devices inloggen; hiermee wordt voorkomen dat een aanvaller via een privéapparaat zonder Conditional Access toch toegang krijgt.
Ook monitoring van communicatiepatronen is cruciaal. Machine-learningfuncties in Defender for Office 365 en Microsoft Sentinel kunnen abnormale communicatie detecteren, zoals een directielid dat ineens buiten werktijd meerdere factuurwijzigingen initieert of controllers die plotseling buiten Europa geld willen overmaken. Koppel deze detecties aan het SOC, maar lever de alerts ook aan de financiële lijn via Teams of Power BI zodat zij snel de verificatie kunnen afronden. Wanneer technische signalen en procescontroles dezelfde conclusie trekken, ontstaat vertrouwen om een betaling tijdelijk stil te zetten totdat de legitimiteit ondubbelzinnig is vastgesteld.
Ten slotte vraagt compliance om aantoonbaarheid. Documenteer DMARC-implementatiestappen, voeg rapportages toe aan het controleregister van de Nederlandse Baseline voor Veilige Cloud en archiveer wijzigingen in SPF/DKIM in een Git-repository zodat auditors kunnen volgen wanneer welke records zijn aangepast. Automatiseer configuratievalidatie met PowerShell-scripts in Azure Automation of GitHub Actions; zo voorkom je regressies bij migraties of tenantwijzigingen. Techniek levert alleen waarde wanneer zij voortdurend wordt gevalideerd en gekoppeld is aan governance, dus zorg dat elk technisch signaal leidt tot een procesactie en dat procesoversturingen weer terugvloeien in de technische tuning.
Procescontroles, training en incidentrespons
Zelfs perfecte e-mailauthenticatie kan niet voorkomen dat een aanvaller een echte mailbox van een leverancier overneemt of een insider overtuigt om gegevens te delen. Daarom vormt procesdiscipline de ruggengraat van BEC-preventie. Begin met een herziening van de procure-to-pay-keten: leg vast welke rollen een wijziging van stamgegevens mogen aanvragen, wie de verificatie uitvoert en welk directielid uitzonderingen mag goedkeuren. Documenteer dit in het control framework van de Nederlandse Baseline voor Veilige Cloud en geef elke processtap een meetbare Service Level Agreement. Wanneer een verzoek om bankgegevens te wijzigen geen bevestigde verificatie bevat, mag het financieel systeem de wijziging technisch niet accepteren. Moderne ERP-platforms en Power Platform-workflows kunnen validatieregels afdwingen zodat menselijke fouten niet direct tot schade leiden.
Training moet verder gaan dan generieke awarenessmodules. Organiseer driemaandelijkse simulaties waarin controllers en inkopers realistische e-mails ontvangen die inspelen op actuele dossiers. Na iedere oefening worden de resultaten besproken met directieleden zodat duidelijk wordt waar druk of hiërarchie een rol speelde. Gebruik echte voorbeelden uit de Nederlandse publieke sector, inclusief fragmenten van BEC-mails die via het NCSC zijn gedeeld, en leg uit welke signalen verraden dat het bericht nep is. Maak daarnaast een “vertrouwensprotocol” waarin medewerkers zwart op wit toestemming krijgen om elke bestuurder terug te bellen, ongeacht rang of tijdstip, zonder dat dit als ongehoorzaam wordt gezien. Culturele veiligheid is essentieel om procescontroles daadwerkelijk te laten functioneren.
Financiële systemen moeten elke stap loggen zodat incidenten snel kunnen worden onderzocht. Sla audittrails op in Microsoft Purview en koppel deze aan een dataretentiebeleid dat aansluit op de Archiefwet. Wanneer een verdachte betaling wordt ontdekt, kan het incidentrespons-team direct zien wanneer het stamrecord is aangepast, vanaf welk IP-adres en welke workflow is doorlopen. Combineer deze data met bankkoppelingen, zodat terugboekpogingen binnen minuten na ontdekking worden ingediend. Leg vooraf afspraken vast met banken over noodprocedures en zorg dat juridische afdelingen weten hoe aangifte bij de politie en melding bij het NCSC wordt gedaan. Een uitgewerkt draaiboek verkleint de kans dat kostbare uren verloren gaan aan het zoeken naar contactpersonen terwijl de tegenpartij het geld al doorsluist.
Incidentrespons stopt niet bij het terughalen van middelen. Voer na elk incident een grondige post-incident review volgens het BIO-principe “plan, do, check, act”. Beschrijf wat misging, welke detectiesignalen over het hoofd zijn gezien en welke governancebesluiten nodig zijn om herhaling te voorkomen. Soms blijkt dat de workloadverdeling onrealistisch is en controllers structureel overuren maken, waardoor alertheid daalt. Soms ontbreken duidelijke escalatiekanalen na 18:00 uur. Door deze factoren vast te leggen in een verbeterplan dat door bestuurders wordt bekrachtigd, geef je invulling aan de NIS2-verplichting om management betrekken in cyberweerbaarheid.
Tot slot is samenwerking in de keten van belang. Deel indicatoren van BEC-aanvallen via het Landelijk Dekkend Stelsel of sectorale ISAC’s, sluit aan op het NCSC-community dashboard en spreek leveranciers aan op hun eigen e-mailbeveiliging. Eisen als DMARC p=reject, phishing-resistente MFA en tijdige melding van mailboxcompromissies horen in contracten en verwerkersovereenkomsten thuis. Door samen met partners aan dezelfde standaarden te voldoen, transformeert BEC van een ongrijpbare dreiging naar een beheersbaar risico dat aantoonbaar onder controle is.
Een organisatie die Business Email Compromise serieus neemt, koppelt technische e-mailauthenticatie aan volwassen procescontroles, cultuur en incidentrespons. De Nederlandse Baseline voor Veilige Cloud vereist dat bestuurders inzicht hebben in deze keten, dat DMARC/DKIM/SPF aantoonbaar zijn ingericht, dat financiële verificaties niet kunnen worden overgeslagen en dat training en simulaties structureel plaatsvinden. Door scenario’s te oefenen, monitoringdata te delen met financiële teams en draaiboeken voor terugboekingen klaar te leggen, wordt BEC een beheersbaar risico in plaats van een existentiële bedreiging. De mix van techniek, mens en governance houdt betalingen veilig, zelfs wanneer criminelen de taal, toon en timing van het bestuur perfect kopiëren.