Wat is CEO-fraude? Hoe aanvallers zich voordoen als directeur om geld te ontfutselen

TL;DR

• CEO-fraude is een gerichte vorm van oplichting waarbij aanvallers zich voordoen als directeur of CFO om een medewerker van finance of HR een dringende betaling te laten goedkeuren of vertrouwelijke data te laten delen.
• Drie leveringsmethodes domineren: display name spoofing, look-alike domeinen, en een volledig gecompromitteerde directie-mailbox. De laatste is het moeilijkst te detecteren.
• Vier psychologische hefbomen doen het echte werk: autoriteit, urgentie, geheimhouding, en plausibiliteit opgebouwd uit publieke OSINT op LinkedIn en de bedrijfswebsite.
• Vijf organisatorische procedures stoppen de meeste aanvallen: out-of-band verificatie, vier-ogen-principe, IBAN-wijzigingsprotocol, geschreven regel dat directie nooit per mail om betalingen vraagt, en een meldingsdrempel van 30 minuten.
• 2026 voegt een nieuwe laag toe: AI-stemklonen en deepfake videogesprekken om de nepmail te bevestigen. Het VBO waarschuwt sinds begin 2026 voor deze trend in België.

Inleiding

CEO-fraude is een vorm van social engineering waarbij een crimineel zich voordoet als een hoge leidinggevende, meestal de CEO of CFO, om een medewerker te manipuleren tot het overmaken van geld of het vrijgeven van vertrouwelijke informatie. Het doelwit is bijna altijd iemand uit finance, boekhouding of HR, omdat deze afdelingen de toegang en de autoriteit hebben die de aanvaller nodig heeft.

Het patroon is consistent: de medewerker ontvangt een dringend bericht dat van een leidinggevende lijkt te komen, met een verzoek tot betaling, een IBAN-wijziging of een lijst met personeelsgegevens. Het verzoek benadrukt vertrouwelijkheid, leunt op hiërarchie, en voegt tijdsdruk toe. Tegen de tijd dat iemand via een tweede kanaal verifieert, is het geld al weg. Deze gids legt uit hoe het werkt, waarom finance en HR de primaire doelwitten zijn, en welke procedures echt werken. Vermoed je dat je al gecompromitteerd bent, start dan met onze gids over signalen dat je gehackt bent en ons Incident Response Plan voor de eerste 72 uur.

CEO-fraude, BEC en whaling: terminologie die ertoe doet

Deze drie termen worden in de pers door elkaar gebruikt, maar zijn niet hetzelfde. Business Email Compromise (BEC) is de overkoepelende categorie: elke vorm van e-mailfraude gericht op bedrijven, inclusief factuurfraude, salarisfraude en leveranciersfraude. CEO-fraude is één specifiek subtype van BEC, waarbij de aanvaller zich voordoet als hoge leidinggevende. Whaling is het omgekeerde: phishing gericht op een directielid, met de directie als slachtoffer in plaats van als gespoofde afzender. Het door elkaar halen van deze drie leidt tot verwarde verdedigingen, en daarom houden we het onderscheid in dit artikel duidelijk.

De drie leveringsmethodes van CEO-fraude

Display name spoofing

De eenvoudigste variant. De aanvaller stuurt een bericht vanaf een willekeurig e-mailadres, maar zet de weergavenaam op die van een echt directielid. Op mobiele mailclients is het adres standaard verborgen, dus de ontvanger ziet alleen de naam van het directielid zonder te beseffen dat het onderliggende adres een persoonlijk Gmail of een willekeurig domein is in plaats van het echte bedrijfsdomein. Dit werkt omdat mobiele gebruikers snel tikken en antwoorden zonder de afzenderdetails uit te klappen.

Look-alike domeinen

Een stap hoger. De aanvaller registreert een domein dat visueel bijna identiek is aan het echte: een cijfer vervangen door een letter, een ontbrekend teken, of een streepje ingevoegd. De mail-header ziet er op het eerste gezicht legitiem uit. Deze techniek vereist dat de aanvaller een domein registreert en SPF, DKIM en DMARC correct configureert om niet door mailfilters te worden geblokkeerd, wat ze vaak met succes doen.

Gecompromitteerde directie-mailbox

De gevaarlijkste variant. De aanvaller heeft de echte directie-mailbox in handen, meestal na een geslaagde phishing-aanval op de directie waarbij MFA werd omzeild via Adversary-in-the-Middle technieken. Van binnenuit leest de aanvaller de communicatiestijl, leert wie betalingen behandelt, ziet lopende deals, en wacht op het juiste moment. Het frauduleuze bericht wordt verstuurd vanaf het echte adres. Vermoed je dat een mailbox is gecompromitteerd, dan is een nuttige eerste check of het e-mailadres voorkomt in een bekende datalek. Diensten zoals Have I Been Pwned tonen onmiddellijk of de inloggegevens publiek gelekt zijn, wat vaak het binnenkomstpunt is van deze variant. De volledige set waarschuwingssignalen staat in onze gids over het herkennen van een accountcompromittering.

De vier psychologische hefbomen die aanvallers gebruiken

Autoriteit

Het bericht komt van bovenaf. De meeste mensen zijn geconditioneerd om een directe instructie van een leidinggevende niet in vraag te stellen, zeker niet in hiërarchische organisaties. Aanvallers spelen hierop in met formele toon, handtekeningblokken, en verwijzingen naar recente echte gebeurtenissen om het bericht authentiek te laten aanvoelen.

Urgentie

"Dit moet vandaag gebeuren." "De deal sluit binnen twee uur." "Ik zit in een meeting en kan niet bellen." De druk haalt de tijd weg die nodig is om via een tweede kanaal te verifiëren. Aanvallen worden vaak getimed op vrijdagmiddag, net voor vakantieperiodes, of net wanneer de CEO bekend op het vliegtuig zit, waardoor telefonische verificatie praktisch onmogelijk is.

Geheimhouding

"Praat hier met niemand over." "Dit is vertrouwelijk tot de aankondiging." Geheimhouding isoleert het doelwit van de collega's die de anomalie normaal zouden opmerken. Het voorkomt ook handig dat het doelwit even langs de CFO loopt om te checken.

Plausibiliteit

Het verzoek past in de context. De aanvaller heeft dagen of weken besteed aan het bestuderen van het bedrijf via LinkedIn, de website, recente persberichten en sociale media. Hij weet dat er een overname loopt, weet dat de CFO op verlof is, weet de naam van het advocatenkantoor waar het bedrijf mee werkt. Het neppe bericht verwijst naar deze details, waardoor het echt aanvoelt.

Een recent voorbeeld: de Alkmaar-zaak

In 2023 verloor de gemeente Alkmaar meer dan EUR 200.000 aan CEO-fraude. Criminelen deden zich voor als een hoge functionaris binnen de gemeente en overtuigden een medewerker om overschrijvingen naar frauduleuze rekeningen goed te keuren. De zaak werd publiek en wordt vaak aangehaald als een duidelijk voorbeeld dat CEO-fraude niet enkel grote multinationals raakt: gemeentes, stichtingen en kleine organisaties zijn even kwetsbaar, vaak zelfs meer omdat hun betaalprocedures minder formeel zijn.

De vijf procedures die de meeste CEO-fraude stoppen

1. Out-of-band verificatie boven een drempel

Elke betaling boven een vastgelegd bedrag (vaak EUR 5.000 of EUR 10.000, afhankelijk van de organisatie) moet via een tweede kanaal worden bevestigd: een direct telefoongesprek op een bekend nummer, of een face-to-face check. Antwoord nooit op de originele mail om te verifiëren, want een gecompromitteerde mailbox zal de bevestiging zelf beantwoorden.

2. Vier-ogen-principe

Geen enkele persoon kan alleen een betaling boven de drempel vrijgeven. Twee goedkeurders zijn vereist, elk onafhankelijk verifiërend. Deze ene procedure stopt al een groot deel van de aanvallen, omdat de aanvaller dan twee mensen tegelijk moet manipuleren in plaats van één.

3. IBAN-wijzigingsprotocol

Een verzoek om het rekeningnummer van een leverancier te wijzigen moet altijd telefonisch worden geverifieerd, via het nummer dat in het boekhoudsysteem staat, niet via het nummer in de mail. Dit is de meest voorkomende variant na CEO-impersonatie: leveranciersfactuur-omleiding. De procedure kost vijf minuten per wijziging en voorkomt het merendeel van de gevallen.

4. Een geschreven regel: directie vraagt nooit per mail om betalingen

De regel moet expliciet zijn, gecommuniceerd naar alle finance-medewerkers, en ondertekend door de directieleden zelf. "Krijg je een mail van mij met een verzoek tot dringende betaling, behandel het dan als frauduleus tot je het telefonisch hebt geverifieerd." Deze ene zin, consistent toegepast, neutraliseert de autoriteits-hefboom.

5. Een meldingsdrempel van 30 minuten

Verdachte berichten moeten binnen 30 minuten worden gemeld aan security of IT, voor er actie wordt ondernomen. Het meldkanaal moet een bekend intern e-mailadres of chat-kanaal zijn, geen antwoord op het verdachte bericht zelf. Snel melden laat de organisatie toe andere potentiële doelwitten binnen het bedrijf te waarschuwen voor de aanvaller naar de volgende medewerker overschakelt.

2026 trend: AI-stemklonen en deepfake videogesprekken

Sinds begin 2026 is er een nieuwe laag bijgekomen. Het Verbond van Belgische Ondernemingen VBO FEB waarschuwt sinds begin 2026 voor een golf van aanvallen specifiek gericht op bedrijfsleiders in België, waarbij slachtoffers worden uitgenodigd voor videogesprekken met AI-gegenereerde beelden van bekende figuren, of opvolgende telefoongesprekken waarbij de stem van het directielid wordt gekloond uit publieke opnames.

De implicatie is duidelijk: telefonische verificatie was lang dé gouden standaard tegen CEO-fraude, maar een fragment van vijf seconden uit een podcast, conferentie-talk of webinar volstaat nu om een overtuigende stemkloon te genereren. Verificatieprocedures moeten evolueren. Authenticatiezinnen die enkel binnen het team bekend zijn, terugbellen naar een geverifieerd intern nummer in plaats van het nummer uit de mail, en korte vooraf afgesproken codewoorden kunnen allemaal helpen. Deze trend sluit aan bij het bredere patroon dat we beschrijven in onze post over AI-aangedreven aanvallen.

Hoe pentesting en awareness samenwerken tegen CEO-fraude

Twee lagen verdediging zijn vereist. De technische laag test of je e-mailinfrastructuur überhaupt gespooft kan worden: SPF, DKIM en DMARC correct geconfigureerd, third-party verzenders correct uitgelijnd, en de afwezigheid van forwarding regels waarachter aanvallers zich kunnen verstoppen. Dit is een onderdeel van wat we behandelen in een social engineering assessment, inclusief gerichte phishing en pretexting tegen je finance-team in een gecontroleerde setting.

De menselijke laag bereidt de mensen voor die deze berichten daadwerkelijk ontvangen. Security awareness training met realistische phishing-, smishing- en CEO-impersonatie simulaties geeft het personeel de spiermemorie om de patronen hierboven te herkennen. Awareness alleen volstaat niet, en technische hardening alleen volstaat niet. De combinatie werkt.

Veelgestelde vragen

Wat is CEO-fraude precies?

CEO-fraude is een gerichte vorm van oplichting waarbij een aanvaller zich voordoet als een hoge leidinggevende, meestal de CEO of CFO, om een medewerker van finance, boekhouding of HR ertoe te bewegen een dringende betaling goed te keuren, een rekeningnummer van een leverancier te wijzigen, of vertrouwelijke informatie te delen. De aanvaller gebruikt een combinatie van e-mailimpersonatie, social engineering en tijdsdruk om de normale verificatieprocedures te omzeilen.

Wat is het verschil tussen CEO-fraude en phishing?

Phishing is breed en ongericht: een algemene mail die naar duizenden mensen wordt verstuurd, in de hoop dat enkele klikken. CEO-fraude is gericht en doorgespit. De aanvaller bestudeert de organisatie via LinkedIn en publieke bronnen, identificeert wie betalingen afhandelt, leert de communicatiestijl van de directie, en stelt een specifiek bericht op dat in de context past. Phishing is volume. CEO-fraude is precisie.

Waarom mikken aanvallers op finance en HR?

Finance heeft de toegang en de autoriteit om betalingen vrij te geven. HR heeft toegang tot de hele personeelsdatabase, inclusief lonen, adressen en identiteitsdocumenten. Beide afdelingen behandelen verzoeken onder tijdsdruk, beide bedienen vaak meerdere directieleden, en beide zijn getraind om responsief te zijn in plaats van wantrouwig. Die combinatie is precies wat een aanvaller wil.

Hoe herken ik een CEO-fraude mail?

Let op de vier hefbomen in combinatie: autoriteit (het komt van bovenaf), urgentie (het moet nu gebeuren), geheimhouding (zeg het tegen niemand), en plausibiliteit (het verwijst naar echte context). Controleer ook het afzendadres door de header uit te klappen, niet enkel de weergavenaam. Let op kleine domeinvariaties, ongewone verzenddingen, en elke vraag om gevestigde betaalprocedures te wijzigen.

Wat doe ik als ik een verdachte mail van onze CEO ontvang?

Antwoord niet op de mail. Klik op geen enkele link. Verifieer via een tweede kanaal: bel het directielid rechtstreeks op een bekend intern nummer, of loop naar zijn kantoor als dat kan. Meld het bericht binnen 30 minuten aan je IT- of security-team. Heb je al een betaling uitgevoerd, contacteer dan onmiddellijk je bank en doe aangifte bij de politie.

Kan een pentest CEO-fraude voorkomen?

Een pentest voorkomt niet elke poging, maar een social engineering assessment test de specifieke scenario's die aanvallers tegen je organisatie gebruiken: gespoofde mail, look-alike domeinen, pretext-calls en impersonatie onder tijdsdruk. Gecombineerd met security awareness training haalt het de meest voorkomende binnenkomstpunten weg en geeft het je finance-team de oefening die ze nodig hebben om de patronen te herkennen. Het doel is geen perfectie. Het is een succesvolle aanval moeilijker, trager en zichtbaarder maken.

Gerelateerde diensten en bronnen

Wil je begrijpen hoe aanvallers de context opbouwen die ze in CEO-fraude gebruiken, lees dan wat een hacker écht doet, van OSINT tot pentesting. Om te zien hoe de technische infrastructuur die impersonatie mogelijk maakt getest wordt, behandelt ons social engineering assessment e-mailspoofing, look-alike domeinen en pretext-calls in een gecontroleerde oefening. Onze penetratietest dienst test het externe aanvalsoppervlak dat vaak leidt tot de gecompromitteerde directie-mailbox variant van CEO-fraude, en onze security awareness training bereidt de mensen die deze berichten ontvangen voor met realistische phishing- en impersonatie simulaties.