Hoe voorkom ik dat ik slachtoffer word van CEO-fraude?

Hoe herken je CEO-fraude en voorkom je dat je bedrijf erin trapt

CEO‑fraude is minder bekend dan phishing of ransomware, maar de schade is vaak veel groter. Criminelen richten zich hierbij op medewerkers die betalingen uitvoeren, zoals financiële medewerkers of boekhouders. Ze proberen hen te misleiden om grote bedragen over te maken naar rekeningen van oplichters. Lees op deze pagina hoe CEO‑fraude werkt en hoe je het herkent.

Wat is CEO‑fraude?

Bij CEO‑fraude ontvangt een medewerker een e‑mail die lijkt te komen van de directeur, CEO of een andere leidinggevende. In die mail staat vaak een dringend verzoek om snel een groot bedrag over te maken. De medewerker denkt dat het om een legitieme opdracht gaat en voert de betaling uit. Pas later blijkt dat de echte directeur nooit zo’n verzoek heeft gedaan. Het geld is dan al verdwenen.

Hoe herken je CEO‑fraude?

1. Er wordt sterke tijdsdruk opgelegd

Criminelen benadrukken dat de betaling met spoed moet gebeuren. Voorbeeld: ‘Dit moet vandaag nog overgemaakt worden. Het is uiterst belangrijk dat dit direct gebeurt.’

Tijdsdruk zorgt ervoor dat medewerkers minder kritisch nadenken.

2. De afzender vraagt om discretie

In de mail staat dat de medewerker het verzoek vertrouwelijk moet behandelen. Voorbeeld: ‘Deze transactie is gevoelig. Bespreek dit met niemand binnen het bedrijf.’

Dit voorkomt dat de medewerker collega’s om bevestiging vraagt.

3. De medewerker wordt belangrijk gemaakt

Criminelen spelen in op loyaliteit en verantwoordelijkheid. Voorbeeld: ‘Ik vertrouw erop dat jij dit snel en correct afhandelt. Jij bent de enige die dit kan doen.’

Dit maakt medewerkers minder geneigd om te twijfelen of te controleren.

4. Het e‑mailadres lijkt op het echte adres, maar klopt nét niet

Criminelen gebruiken adressen die bijna identiek zijn aan het echte adres. Voorbeelden:

• j00st@bedrijf.nl (met nullen in plaats van ‘o’s)
• ceo@bedrijfvvaarheid.com (dubbele v in plaats van w)

5. Het rekeningnummer wijkt af van eerdere betalingen

Soms sturen criminelen een nagemaakte factuur van een bestaande klant of leverancier, maar met een aangepast rekeningnummer. Voorbeeld: Een factuur lijkt volledig echt, maar het IBAN‑nummer komt niet overeen met eerdere betalingen. Altijd controleren: Komt het rekeningnummer overeen met wat in je administratie staat? Zo niet: bel de leverancier via een bekend nummer.

Welke maatregelen kun je nemen om CEO‑fraude te voorkomen?

1. Informeer je personeel

Zorg dat medewerkers — vooral financiële medewerkers — weten:

• wat CEO‑fraude is
• welke signalen erbij horen
• dat ze altijd mogen twijfelen en controleren

Neem deze informatie op in onboardingdocumenten en herhaal het regelmatig, bijvoorbeeld via een halfjaarlijkse cyberveiligheidstoolbox.

2. Zorg dat medewerkers je makkelijk kunnen bereiken

De drempel om een betalingsverzoek te controleren moet laag zijn. Maak duidelijk:

• bij wie medewerkers kunnen verifiëren
• dat ze altijd mogen bellen, ook als de e‑mail zegt dat je ‘niet bereikbaar’ bent
• dat controle belangrijker is dan snelheid

3. Deel je echte contactgegevens

Criminelen zetten soms een vals telefoonnummer in de e‑mail. Voorbeeld: ‘Bel dit nummer om de betaling te bevestigen.’ De medewerker krijgt dan een “advocaat” of “accountant” aan de lijn, die in werkelijkheid een oplichter is.

Zorg daarom dat medewerkers altijd jouw echte contactgegevens hebben en nooit nummers uit verdachte e‑mails gebruiken.

4. Heroverweeg en verbeter je betaalprocessen

Breng je betaalprocessen in kaart en kijk waar risico’s zitten. Denk aan:

• extra controles bij hoge bedragen
• dubbele goedkeuring voor internationale betalingen
• vaste procedures voor uitzonderingen
• duidelijke regels voor spoedbetalingen

Hoe strakker het proces, hoe kleiner de kans dat criminelen ertussen komen.