Nieuws

CEO-fraude en nepfacturen herkennen: vaste terugbelafspraken voor kleine teams

CEO-fraude en nepfacturen treffen ook kleine teams. Leer de signalen herkennen en maak vaste terugbelafspraken die betalingsfraude helpen te voorkomen.

5 min leestijdIdenScan
CEO-fraude en nepfacturen herkennen: vaste terugbelafspraken voor kleine teams

Een medewerker van de boekhouding ontvangt een mail van de directeur. Spoed. Een bedrag moet vandaag nog overgemaakt worden naar een nieuw rekeningnummer. Niet vragen, niet wachten, gewoon doen. Zo werkt CEO-fraude.

Het principe is eenvoudig: de aanvaller doet zich voor als iemand met gezag en creëert een gevoel van urgentie. De medewerker wil helpen, voelt zich niet op zijn gemak om te twijfelen, en maakt de betaling. Achteraf blijkt de mail nep.

Kleine teams zijn geen uitzondering op dit patroon — integendeel. Juist in kleinere organisaties heeft iedereen direct contact met de eigenaar of directeur, waardoor een geloofwaardig spoedverzoek van die persoon extra impact heeft.

Hoe CEO-fraude eruitziet in de praktijk

Het klassieke spoedverzoek

Een e-mail die lijkt van de eigenaar of directeur: "Ik zit in een vergadering, kan jij dit regelen?" Met een IBAN dat net iets anders is dan anders. Of een PayPal-link, een overboeking naar een buitenlandse rekening, of een verzoek om cadeaubon-codes te kopen.

De mail ziet er echt uit. Soms is het e-mailadres vrijwel identiek aan het echte adres, maar met één letter of cijfer verschil.

Een nepfactuur van een bekende leverancier

Factuurzwendel werkt anders. Hier stuurt een aanvaller een factuur die lijkt op een echte factuur van een leverancier die het bedrijf al kent. Het logo klopt. De layout klopt. Maar het rekeningnummer is gewijzigd.

Of er komt een aparte mail vlak voor de factuur: "We hebben ons bankrekeningnummer gewijzigd, graag toekomstige betalingen hierop storten." Die mail is nep.

Een betaalverzoek via een ongewoon kanaal

Via WhatsApp, via sms of via een privé-e-mailadres. "Kan je snel even regelen?" Dat ongewone kanaal is al een signaal.

Signalen die medewerkers moeten herkennen

  • Urgentiedruk: het verzoek moet vandaag of nu.
  • Afwijkend kanaal: WhatsApp, privémail, sms in plaats van normale bedrijfscommunicatie.
  • Verzoek om geheimhouding: "Vertel dit niet aan collega's."
  • Nieuw of afwijkend rekeningnummer.
  • Afzenderadres dat er bijna hetzelfde uitziet, maar iets verschilt.
  • Factuur die er normaal uitziet maar met gewijzigde betaalgegevens.

Geen van deze signalen betekent automatisch fraude. Maar elk van deze signalen rechtvaardigt een extra controle.

De terugbelafspraak: simpel en effectief

De sterkste verdediging tegen CEO-fraude en factuurzwendel is een simpele werkafspraak: bel terug via een bekend nummer voordat je betaalt of gegevens deelt op basis van een enkel bericht.

Dat betekent:

  • Betaalwijzigingen voer je niet door op basis van alleen een e-mail.
  • Spoedverzoeken van de directeur of eigenaar bevestig je altijd telefonisch — via het nummer dat al in je telefoon staat, niet het nummer dat in de mail staat.
  • Facturen van leveranciers met gewijzigde bankgegevens verificeer je altijd via een eerder vastgelegd contactnummer.
  • Medewerkers mogen twijfelen, ook als dat betekent dat ze de directeur storen.

Dit zijn geen ingewikkelde procedures. Het zijn afspraken die je als team maakt en herhaalt, zodat iedereen weet wat normaal is en wat niet.

Verdachte links in mails en facturen

Soms bevatten neppfacturen of -berichten ook links naar "factuurportalen" of "betalingspagina's". Die zijn nep. De URL-checker van IdenScan helpt medewerkers een verdachte link te inspecteren voordat ze hem openen.

Dit vervangt geen gezond oordeel, maar geeft een extra moment van bezinning voordat er op een link geklikt wordt.

Wat training bijdraagt

Training over CEO-fraude en nepfacturen is niet ingewikkeld. Het gaat om herkenning van patronen en het borgen van eenvoudige afspraken. Een goede training doet drie dingen:

  1. Laten zien hoe het eruitziet — echte voorbeelden van CEO-fraude mails, nepfacturen en phishingberichten die er professioneel uitzien.
  2. Afspraken concreet maken — wie controleert, wie belt terug, wie beslist en hoe je twijfel meldt.
  3. Oefenen met herkennen — medewerkers leren sneller signalen te zien als ze het al eens hebben gezien.

Voor bredere bewustwording biedt IdenScan cyberveiligheidstraining voor bedrijven en teams. Afgestemd op kleine teams en kantoren die dagelijks met betalingen en klantgegevens werken.

Wil het team ook weten of e-mailadressen van medewerkers of klanten in bekende datalekken staan? Een QuickScan geeft een eerste beeld. Voor doorlopende signalering past CyberCheck beter.

Checklist voor betere betaalcontrole

  • Stel een vaste procedure in voor het doorvoeren van betaalwijzigingen.
  • Bel altijd terug bij twijfel — via een bekend nummer, niet via het nummer in de mail.
  • Controleer facturen met gewijzigde bankgegevens altijd via een eerder vastgelegd contact.
  • Maak medewerkers vertrouwd met hoe CEO-fraude eruitziet.
  • Moedig aan om twijfel te melden, ook als het "waarschijnlijk niets is".
  • Leg vast wie betalingen autoriseert en welke stappen daarvoor nodig zijn.

Veelgestelde vragen

Kan CEO-fraude echt bij kleine bedrijven of administratiekantoren voorkomen? Ja. Juist in kleinere organisaties heeft iedereen directe relaties met de eigenaar of directeur, waardoor een spoedverzoek op naam van die persoon geloofwaardiger voelt. CEO-fraude is niet voorbehouden aan grote bedrijven.

Hoe herken ik een neppe factuur? Let op afwijkende bankgegevens ten opzichte van eerdere facturen, onverwachte wijzigingsberichten vlak voor een factuur en facturen die er goed uitzien maar via een ongebruikelijk kanaal zijn verstuurd. Verificeer altijd via een eerder vastgelegd contact bij twijfel.

Wat als een medewerker al een betaling heeft gedaan? Neem zo snel mogelijk contact op met de bank om te vragen of de betaling nog terug te draaien is. Meld het intern en overweeg aangifte te doen bij de politie. Handelen snel na de ontdekking vergroot de kans op herstel, maar geeft geen garantie.

Helpt training medewerkers écht CEO-fraude te herkennen? Training helpt medewerkers patronen herkennen en werkafspraken concreter te maken. Het neemt risico niet volledig weg, maar ondersteunt bewustwording en helpt teams eenduidiger handelen bij twijfel.

Is een terugbelafspraak echt voldoende als tegenmaatregel? Een terugbelafspraak is een eenvoudige en effectieve maatregel. Gecombineerd met training en duidelijke autorisatieprocedures voor betalingen helpt het risico verkleinen. Geen enkele maatregel is waterdicht, maar goede werkafspraken maken een groot verschil.

Vraag een training aan voor jouw team

Wil je medewerkers helpen CEO-fraude, nepfacturen en betalingsoplichting sneller te herkennen?

IdenScan geeft praktische teamtraining in normale Nederlandse taal. Geen technisch verhaal, maar herkenbare voorbeelden en concrete afspraken voor kleine teams en kantoren.

Neem contact op of vraag een training aan