CEO fraude is een vorm van oplichting waarbij criminelen zich voordoen als de directeur of een andere leidinggevende van een bedrijf. Ze sturen een dringende e-mail naar de financiele afdeling met het verzoek om snel een groot bedrag over te maken naar een buitenlandse rekening. De e-mail lijkt afkomstig van de echte CEO, maar is vervalst.

Hoe voorkom je CEO fraude?

CEO fraude voorkom je door een vier-ogen principe in te stellen bij betalingen boven een bepaald bedrag, een verplichte verificatieprocedure te hanteren (terugbellen via het bekende nummer), betalingslimieten in te stellen voor eenmalige overboekingen, medewerkers te trainen via phishing simulaties en awareness training, en een duidelijke escalatieprocedure in te richten voor afwijkende betalingsverzoeken.

Kennisbank › CEO fraude

CEO fraude: wat het is, hoe je het herkent en voorkomt

Q: Wat zijn voorbeelden van CEO fraude?

Voorbeelden van CEO fraude in Nederland zijn: een bouwbedrijf waarvan de CFO een dringend betalingsverzoek van de 'directeur' ontvangt voor een vertrouwelijke overname, een accountantskantoor waarbij de 'CEO' een leverancier vraagt via een nieuw bankrekeningnummer te betalen, of een zorginstelling waarbij een 'financieel directeur' IBAN-gegevens laat wijzigen voor terugkerende betalingen.

Q: Hoe herken je CEO fraude?

CEO fraude herken je aan: extreme urgentie ('moet vandaag nog'), verzoek om vertrouwelijkheid, een iets afwijkend e-mailadres, ongebruikelijke communicatiekanalen, vraag om normale goedkeuringsprocedures te omzeilen, en een verzoek om een groot bedrag naar een onbekende rekening over te maken.

CEO fraude is een van de meest lucratieve vormen van cybercriminaliteit gericht op bedrijven. Criminelen doen zich voor als directeur of leidinggevende en sturen een dringend betalingsverzoek naar de financiele afdeling. Het geld is overgemaakt voordat iemand doorheeft dat er iets mis is. Dit artikel legt uit hoe CEO fraude werkt, hoe u het herkent en hoe u uw organisatie beschermt.

Wat is CEO fraude?

CEO fraude, ook wel Business Email Compromise (BEC) of directeursfraude genoemd, is een gerichte aanval waarbij oplichters zich voordoen als een hooggeplaatste leidinggevende binnen een organisatie. Doorgaans is dit de directeur, CFO of een andere persoon met autoriteit over financiele beslissingen.

De aanvaller stuurt een e-mail naar een medewerker op de financiele afdeling, inkoopafdeling of salarisadministratie. De mail lijkt afkomstig van de CEO of directeur en bevat een urgent verzoek: maak vandaag nog een bedrag over naar een opgegeven bankrekeningnummer. De reden varieert: een vertrouwelijke overname, een noodgeval in het buitenland, een betaling die anders een deal doet mislukken.

CEO fraude is een specifieke vorm van phishing waarbij de aanval persoonlijk is, de oplichter doet voorwerk (OSINT), kent de naam van de directeur, de organisatiestructuur en soms zelfs lopende projecten. Dat maakt de mail bijzonder geloofwaardig. Meer informatie over de bredere gevaren van phishing vindt u in ons artikel over de gevaren van phishing voor bedrijven.

Schaal van het probleem: De FBI rapporteerde wereldwijd meer dan 50 miljard dollar schade door CEO fraude over de afgelopen tien jaar. In Nederland deed de politie in 2024 honderden meldingen van geslaagde CEO fraude bij mkb-bedrijven.

Bekende CEO fraude voorbeelden in Nederland

De onderstaande voorbeelden zijn fictief maar realistisch, gebaseerd op de kenmerken van CEO fraude incidenten die in het Nederlandse mkb voorkomen.

Voorbeeld 1: Bouwbedrijf, Friesland (65 medewerkers)

De CFO van een middelgroot bouwbedrijf ontvangt op een vrijdagmiddag een e-mail van het adres van de directeur, of zo lijkt het. De directeur is "in vergadering" en schrijft dat er vandaag nog een aanbetaling van 47.000 euro gedaan moet worden voor een vertrouwelijke grondaankoop. Niemand mag er nog van weten. De CFO twijfelt, maar de directeur is moeilijk bereikbaar en de deadline dringt. Het geld wordt overgemaakt. Maandagochtend blijkt de directeur niets van de mail af te weten.

Schade: 47.000 euro, niet teruggevorderd.

Voorbeeld 2: Accountantskantoor, Utrecht (38 medewerkers)

Een medewerker van de salarisadministratie ontvangt een mail van de "CEO" met het verzoek om de IBAN-gegevens van een vaste leverancier te wijzigen. Er wordt een aangepaste PDF bijgevoegd met nieuwe rekeninggegevens. De medewerker verwerkt de wijziging correct via het systeem. Drie maandelijkse facturen worden naar de nieuwe rekening overgemaakt, in totaal 89.000 euro, voordat de echte leverancier contact opneemt over gemiste betalingen.

Schade: 89.000 euro, deels gedekt door cyberverzekeraar na langdurige procedure.

Voorbeeld 3: Zorginstelling, Drenthe (120 medewerkers)

Een nieuwe financieel medewerker ontvangt een WhatsApp-bericht van een onbekend nummer dat zich identificeert als de bestuurder van de instelling. Of ze even een spoedoverboeking van 125.000 euro kan regelen voor medische apparatuur die vandaag geleverd wordt. De medewerker denkt dat het normaal is dat de bestuurder via WhatsApp communiceert en volgt de instructie op. De "bestuurder" was een oplichter die het telefoonnummer had gevonden op LinkedIn.

Schade: 125.000 euro, aangifte gedaan, geld niet teruggevorderd.

Hoe herken je een CEO fraude mail?

CEO fraude mails zijn zorgvuldig opgesteld om geloofwaardig te zijn. Toch zijn er zes terugkerende kenmerken die een aanval verraden:

Extreme urgentie

De mail vraagt om onmiddellijke actie: "moet vandaag nog", "over 2 uur", "voor 16:00". Deze tijdsdruk verhindert dat de ontvanger normaal nadenkt of verificatie zoekt.

Verzoek om vertrouwelijkheid

"Vertel dit aan niemand", "dit moet discreet blijven", "spreek er met collega's niet over". Dit isoleert de ontvanger en voorkomt dat de fraude ontdekt wordt door een collega die twijfels zou uiten.

Afwijkend e-mailadres

Het adres lijkt op het echte adres maar heeft een subtiel verschil: ceo@coboo-nl.com in plaats van ceo@coboo.nl, of een extra letter die je bij snel lezen mist. Check altijd het volledige e-mailadres.

Ongebruikelijk communicatiekanaal

CEO fraude komt soms via WhatsApp, SMS of een persoonlijk e-mailadres. De oplichter beweert dat zijn zakelijk account "even niet werkt". Financiele verzoeken die via ongebruikelijke kanalen komen, verdienen altijd extra verificatie.

Omzeiling van normale procedures

"Voor dit bedrag is normaal goedkeuring van twee personen nodig, maar maak een uitzondering" of "sla het normale betaalproces over". Elke aanvraag die normale beveiligingsprocedures wil omzeilen, is een alarmbel.

Groot bedrag naar onbekende rekening

Het doelrekeningnummer is onbekend, staat in een ander land, of is net gewijzigd. CEO fraude draait altijd om een geldoverboeking. Nooit geld overmaken naar een nieuw rekeningnummer zonder verificatie via een bekend telefoonnummer.

CEO fraude voorkomen: stappenplan voor bedrijven

CEO fraude is grotendeels te voorkomen met de juiste procedures en bewustzijn. Volg dit stappenplan:

Stap 1: Vier-ogen principe bij betalingen

Stel een harde regel in: elke betaling boven een bepaald drempelbedrag (bijv. 5.000 euro) vereist goedkeuring van twee personen. Dit geldt ook als de aanvraag van de directeur zelf lijkt te komen. Leg dit vast in beleid en zorg dat alle betrokken medewerkers het kennen.

Stap 2: Verplichte telefonische verificatie

Stel een protocol in: bij elk onverwacht betalingsverzoek of IBAN-wijziging, bel de aanvrager terug via een bekend telefoonnummer uit het bedrijfssysteem. Nooit via een nummer dat in de e-mail staat. Dit enkele stap voorkomt de meeste gevallen van CEO fraude.

Stap 3: Betalingslimieten instellen

Configureer uw banksoftware zodat eenmalige overboekingen boven een bepaald bedrag geblokkeerd of vertraagd worden. Sommige banken bieden ook een verificatiestap voor nieuwe begunstigden. Gebruik deze functies actief.

Stap 4: Medewerkers trainen via phishing simulaties

CEO fraude is een vorm van phishing die gericht is op sociale manipulatie. Medewerkers die regelmatig worden geconfronteerd met gesimuleerde phishing, inclusief CEO fraude scenario's, zijn aantoonbaar beter in staat om echte aanvallen te herkennen. Een phishing simulatie maakt de kwetsbaarheid zichtbaar en creert bewustzijn zonder schade.

Stap 5: Duidelijke escalatieprocedure

Zorg dat medewerkers weten wat ze moeten doen als ze twijfelen: wie bellen ze? Hoe melden ze een verdacht bericht? Een cultuur waarbij twijfel beloond wordt, en niet bestraft als lastig, is de belangrijkste verdediging. Medewerkers die bang zijn om "dom" te lijken, klikken vaker. Medewerkers die weten dat melden gewaardeerd wordt, vormen uw sterkste verdediging.

Financiele impact van CEO fraude

CEO fraude is zo effectief omdat het geld snel en onomkeerbaar verdwijnt. Zodra een overboeking is gedaan naar een buitenlandse rekening, vaak via meerdere tussenstops, is terugvordering vrijwel onmogelijk. De bank kan alleen ingrijpen als de fraude binnen minuten wordt gemeld. In de praktijk duurt het uren of dagen voordat de fraude ontdekt wordt.

CEO fraude kost een bedrijf gemiddeld tussen de 50.000 en 150.000 euro per incident. In grotere organisaties of bij gesegmenteerde fraude over meerdere perioden lopen de bedragen op tot miljoenen euro's. Naast de directe financiele schade zijn er ook indirecte kosten: onderzoekskosten, juridische bijstand, reputatieschade richting klanten en medewerkers, en in sommige gevallen AVG-meldplicht bij de Autoriteit Persoonsgegevens als er ook persoonsgegevens zijn gelekt.

Belangrijk: Veel cyberpolissen dekken CEO fraude, maar alleen als er aantoonbaar beleid en procedures waren. Heeft uw organisatie geen documentatie van bewustzijnstraining en betalingsprocedures, dan kan de verzekeraar uitkering weigeren.

Veelgestelde vragen over CEO fraude

Wat zijn voorbeelden van CEO fraude?

Voorbeelden van CEO fraude zijn: een nep-e-mail van de directeur met verzoek om een spoedoverboeking voor een vertrouwelijke overname, een vervalste PDF met gewijzigde IBAN-gegevens van een vaste leverancier, of een WhatsApp-bericht van een "bestuurder" via een onbekend nummer met een betalingsverzoek. In alle gevallen staat urgentie en vertrouwelijkheid centraal.

Hoe herken je CEO fraude?

CEO fraude herkent u aan zes signalen: extreme urgentie, verzoek om vertrouwelijkheid, een afwijkend e-mailadres, ongebruikelijke communicatiekanalen (WhatsApp, privémail), vraag om normale procedures te omzeilen, en een betalingsverzoek naar een nieuw of onbekend rekeningnummer.

Wat kost CEO fraude een bedrijf gemiddeld?

CEO fraude kost een bedrijf gemiddeld 50.000 tot 150.000 euro per incident. Terugvordering is in de meeste gevallen niet mogelijk. Bovenop de directe schade komen onderzoekskosten, juridische kosten en mogelijke reputatieschade.

Wat doe je als je slachtoffer bent van CEO fraude?

Neem direct contact op met uw bank en vraag om een spoedterugvordering. Doe aangifte bij de politie. Meld het incident bij uw cyberverzekeraar. Als er persoonsgegevens zijn betrokken, bent u mogelijk verplicht dit te melden bij de Autoriteit Persoonsgegevens binnen 72 uur.

Bescherm uw bedrijf tegen CEO fraude met een phishing simulatie

Een phishing simulatie met CEO fraude scenario's laat zien welke medewerkers kwetsbaar zijn, veilig, gecontroleerd en zonder schade. CoBoo verzorgt simulaties voor Nederlandse bedrijven door heel Nederland.

Meer over phishing simulaties Gevaren van phishing

Vraag een gratis offerte aan

Of u nu 5 of 500 medewerkers heeft, voor elk bedrijf is er een passende oplossing.

Dit opent uw e-mailprogramma. U verstuurt de e-mail zelf.

Lees onze privacyverklaring