Wat is CEO-fraude?
CEO-fraude is een vorm van phishing / sociale engineering waarbij de dader zich voordoet als een topbestuurder (CEO, CFO, directeur) van een bedrijf, met het doel om een medewerker — vaak in de financiële of HR-afdeling — te misleiden tot het doen van ongeoorloofde overboekingen of het vrijgeven van gevoelige gegevens.
Soms wordt e-mailspoofing gebruikt (zodat de afzender lijkt de CEO), of wordt een echt e-mailaccount van de CEO gehackt (account takeover).
De aanvragen zijn meestal urgent, vertrouwelijk (“alleen jij mag dit weten”) en met druk om snel te handelen, zodat mensen minder gaan controleren.
Waarom is het een groot risico?
Financiële schade: bedragen kunnen flink oplopen door frauduleuze overboekingen.
Imagoschade: reputatieverlies als blijkt dat de organisatie kwetsbaar is.
Interne verstoring: verlies van vertrouwen, herstructurering processen.
Lastig te detecteren: de fraudeurs gebruiken vaak “legitiem ogende” e-mailadressen of domeinen.
In Nederland: CEO-fraude maakt circa 11 % van alle externe fraude (fraude van buitenaf) uit.
⸻
Typische scenario’s / voorbeelden van CEO-fraude
Hier zijn soorten scenario’s die vaak voorkomen:
| Scenario | Wat wordt gevraagd | Waarom dit werkt |
| Valse factuurbetaling | Betaal dit factuurnummer onmiddellijk op rekening | Omdat facturen al in de administratie bekend zijn of lijken op bestaande leveranciersfacturen |
| Vraag om privacygevoelige data | Stuur alle loonstrookjes / W-2 / belastinggegevens van medewerkers | HR denkt dit komt van de CEO / CFO, vertrouwelijke sfeer |
| Wijziging van bankgegevens | Wijzig in ons systeem het bankrekeningnummer van [leverancier] naar dit nieuwe nummer | Levert aanzienlijke financiële baten op voor de fraudeur |
| Verzoek om giftcards, cryptotransfers, pre-paid kaarten | Koop deze kaarten en stuur de codes | Moeilijker terug te draaien en vaak anoniem |
Hoe voorkom je CEO-fraude? (Maatregelen & best practices)
Preventie is cruciaal; hier zijn effectieve maatregelen:
- Bewustwording en training
- Zorg dat alle medewerkers (niet alleen de financiële of HR) getraind zijn in het herkennen van verdachte e-mails (urgent taalgebruik, afwijkende e-mailadressen, verzoeken om geld of gegevens).
- Simuleer phishing-oefeningen om medewerkers alert te houden.
- Strikte betalingsprocedures & interne controle
- Invoeren van dubbele goedkeuring (twee personen moeten een betaling boven een drempel autoriseren).
- Beperk wie binnen de organisatie bevoegd is om betalingen uit te voeren of betalingsgegevens te wijzigen.
- Laat een (onafhankelijke) manager of controller bevestigen via een ander kanaal (bijv. telefonisch, face-to-face) vóór het uitvoeren van een “noodsituatie”-betaling.
- Technische beveiligingen
- E-mailauthenticatie: implementeer SPF, DKIM en DMARC om te voorkomen dat e-mails gespooft worden namens jouw domein.
- Monitoring van inkomende e-mails: filter verdachte afzenders, afwijkende domeinen, afwijkingen in headers.
- Gebruik van beveiligde interne communicatiemiddelen (bijv. interne chat of platformen) voor verificatie.
- IBAN-Naamcheck: controleer automatisch of het ingevoerde naam-IBAN-combinatie overeenkomt, zodat afwijkende rekeningen ontdekt worden.
- Incidentrespons en escalatie
- Heeft een medewerker twijfel? Moet hij/zij dit direct kunnen escaleren naar beveiliging of compliance zonder drempels.
- Stel een protocol in voor als een frauduleuze overboeking is uitgevoerd: snel handelen, contact opnemen met bank, forensisch onderzoek.
- Continue evaluatie en aanpassing
- Analyseer regelmatig gevallen van pogingen tot fraude — leer van near-misses.
- Audit van procedures: zijn regels nog up-to-date en worden ze nageleefd?
- Zorg dat bestuur en directie het onderwerp op de agenda houden, zodat het serieus genomen wordt.