Je halve omzet kwijt aan oplichters. Dit is BEC-fraude

Het is geen woord dat je elke dag hoort: BEC-fraude. Maar volgens het Openbaar Ministerie groeit BEC-fraude enorm. Deze oplichting via e-mail kan je veel geld kosten, óók als je een klein bedrijf hebt.

Het begon als een normale zakendeal. Begin 2021 maakte een bedrijf uit Leimuiden afspraken met een Europese leverancier. Na wat mailverkeer plaatste het bedrijf een bestelling, ontving twee facturen voor in totaal 80.000 euro en maakte het geld over. In mei 2021 vroeg de leverancier waar de betaling bleef. Wat bleek: het Leimuidense bedrijf had het geld niet betaald aan de echte leverancier, maar aan criminelen. De oplichters kregen dat voor elkaar met BEC-fraude.

1. Wat is BEC-fraude?

BEC staat voor Business E-mail Compromise. Criminelen gebruiken je zakelijke e-mailverkeer om je op te lichten. Er zijn verschillende vormen van BEC-fraude, maar twee elementen komen bijna altijd terug: criminelen gebruiken e-mail en ze doen zich voor als iemand anders.

CEO-fraude

Een bekende vorm van BEC-fraude heet ook wel CEO-fraude. Daarbij krijgt een medewerker een e-mail van ‘de baas’, met de vraag om geld over te maken. Uiteindelijk blijkt ‘de baas’ een crimineel die het geld wegsluist. Een bekend voorbeeld is de Pathé-zaak in 2018. In die zaak maakte de bioscoopketen zonder het zelf door te hebben in totaal 19 miljoen euro over aan criminelen. En begin 2022 verloor een Rotterdams staalbedrijf ruim 11 miljoen euro door CEO-fraude.

Factuurfraude

Een andere vorm van BEC-fraude is factuurfraude. Je krijgt een factuur die je verwacht, maar op de factuur is het rekeningnummer aangepast. Dat valt je niet meteen op. Het geld dat je overmaakt gaat niet naar je leverancier, maar naar de crimineel. Soms schrijven de criminelen in de mail dat het bedrijf waar je vaker zaken mee doet een nieuw rekeningnummer heeft. Ze vragen je dan of je het rekeningnummer in je boekhoudsysteem wilt aanpassen.

Spoofing

Hoe krijgen criminelen het voor elkaar dat jij denkt dat de mail van je leverancier komt? “Het kan zijn dat het mailadres gespooft is, of overgenomen”, legt Koen Hermans uit. Hij werkt als aanklager voor het Openbaar Ministerie en ziet elke week voorbeelden van BEC-fraude. “Dan zie je niet aan het mailadres dat de mail eigenlijk van iemand anders komt. Maar we zien ook veel ‘typosquatting’. Daarbij wijzigt de oplichter een letter of cijfer in het mailadres. Niemand let daarop.” Is het echte adres info@kvk.nl, dan gebruikt de crimineel misschien info@kvk.nu. Of zelfs @kvk.nI, waarbij de laatste letter van het mailadres een hoofdletter ‘i’ is.

2. Raakt BEC-fraude kleine bedrijven?

Volgens Hermans is BEC-fraude ook een gevaar voor kleinere bedrijven en stichtingen. “Een aangifte die ik heb gezien, was van een bedrijf dat jaarlijks zo’n twee ton aan omzet binnenkreeg. Het werd voor een ton opgelicht. Dus ja: BEC-fraude overkomt ook bedrijven die geen miljoenenomzet hebben.” In april 2021 kreeg de penningmeester van een Zoetermeerse sportvereniging via e-mail een betaalverzoek van de voorzitter: of hij 3.500 euro wilde overmaken. Toen de penningmeester even belde, bleek dat de voorzitter die mail nooit verzonden had. “Op het moment dat je denkt ‘dit is vreemd’, pak de telefoon en bel de afzender”, adviseert Hermans.

Schade

De schade door BEC-fraude in Nederland is lastig in te schatten, zegt Bert Feskens, securityexpert bij Security Delta HSD. “Weinig bedrijven doen aangifte van cybercrime, omdat ze bang zijn voor reputatieschade of zich schamen. Dus we hebben te maken met onderrapportage.”

3. Hoe voorkom je BEC-fraude?

Feskens en Hermans geven vier tips waarmee je BEC-fraude helpt voorkomen:

  1. Zorg voor technische drempels. Stel bijvoorbeeld je boekhoudsysteem zo in, dat het lastig is om een rekeningnummer te wijzigen. Zorg ook dat de beveiliging van je e-mailverkeer op orde is, zodat criminelen moeilijker je e-mailadres kunnen misbruiken.
  2. Gebruik het vier-ogenprincipe. Laat altijd verschillende medewerkers meekijken met het betalen van facturen boven een bepaald bedrag. Zie je iets vreemds? Bel dan de leverancier om de factuur te checken. Doe dat niet per e-mail, want het kan zijn dat criminelen je mailserver hebben gehackt en je mail onderscheppen.
  3. Creëer een open bedrijfscultuur. Als medewerkers niet bang zijn om je vragen te stellen of feedback te geven, zullen ze een verdachte situatie eerder melden. Een open houding richting je medewerkers kan BEC-fraude dus voorkomen.
  4. Let extra op in vakantietijd. Criminelen slaan vaak hun slag als de bezetting laag is, bijvoorbeeld tijdens het weekend of in de vakantie.

4. Wat als ik slachtoffer ben?

Kom je erachter dat je bent opgelicht via BEC-fraude? Onderneem dan deze vier acties:

  1. Bel direct je bank. Criminelen verplaatsen het geld meestal snel naar een andere rekening. Maar als je op tijd bent, kan je bank het geld mogelijk terugboeken naar je rekening.
  2. Neem contact op met je IT-beheerder, als je die hebt. Het kan zijn dat je mailserver is gehackt, dus het is goed als een specialist met je meekijkt.
  3. Doe aangifte bij de politie. De politie en het OM kunnen pas iets voor je doen als ze informatie krijgen. Op het moment dat je het niet meldt of geen aangifte doet, kunnen ze niks tegen de criminelen doen.
  4. Meld de fraude bij de Fraudehelpdesk. Zij waarschuwen andere ondernemers.

Dit artikel verscheen eerder op de website van de Kamer van Koophandel.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *