Je opent je mail, ziet een bericht van de “directeur” met een spoedverzoek voor een factuur, en voor je het weet is er tienduizenden euro’s verdwenen. Het overkomt niet alleen particulieren; in Nederland verschuift de focus van internetcriminelen steeds vaker naar het bedrijfsleven. De tactieken zijn zo geraffineerd dat zelfs de meest ervaren financials erin luizen.
De psychologie achter de klik
In mijn praktijk zie ik dat oplichters allang niet meer alleen gokken op technische hacks. Ze hacken liever de mens. De zwakste schakel in de beveiligingsketen is namelijk nog steeds de persoon achter het scherm. Door gebruik te maken van tijdsdruk en autoriteit, schakelen ze ons kritisch vermogen uit.
De nieuwste trend? Entertainment als dekmantel. Terwijl een werknemer even ontspant met een “geluksrad” of een winactie op sociale media, geeft hij onbewust toegang tot zakelijke bankomgevingen. Eén onschuldige klik op een smartphone kan de deur naar de hele bedrijfsrekening openzetten.
De meest voorkomende valstrikken van dit moment:
- Phishing 2.0: Websites van banken en pakketdiensten die met AI razendsnel en foutloos worden nagebouwd.
- De “valse directeur”: Een mail die precies de juiste toon aanslaat en aandringt op een directe overboeking.
- Factuurfraude: Het onderscheppen van mailverkeer waarbij het rekeningnummer op een legitieme factuur ongemerkt wordt aangepast.
De illusie van veiligheid in het MKB
Veel Nederlandse ondernemers hanteren een informele werkwijze. De eigenaar heeft de officiële tokens, maar de boekhouder voert de betalingen uit. Dit voelt efficiënt, maar het creëert een gevaarlijk gat in de controle. Wanneer verantwoordelijkheden versnipperd zijn, wordt er vaak mechanisch goedgekeurd zonder naar de details te kijken.
Maar er is een nuance die vaak wordt vergeten: technische beveiliging is waardeloos als de gebruiker zelf de actie bevestigt. Oplichters maken gebruik van onze gewoonte om snel op “akkoord” te tikken op onze telefoon zonder te lezen wat er precies staat.
De 50/50 oplossing: Dubbel slot op de deur
Wat is de meest effectieve verdediging tegen deze miljoenenfraude? Het is verrassend simpel: het principe van de dubbele autorisatie.
- Stel de bankomgeving zo in dat twee verschillende personen een betaling moeten goedkeuren.
- Voer een harde regel in: betalingsgegevens die via mail binnenkomen, worden altijd telefonisch geverifieerd bij de leverancier.
- Train medewerkers om pauze te nemen voordat ze op een notificatie tikken; die drie seconden kunnen het verschil zijn tussen veiligheid en een faillissement.
Het gaat allang niet meer over een antivirusprogramma, maar over de cultuur binnen je bedrijf. Elk scherm, elke klik en elke smartphone is een potentieel toegangspunt. De vraag is niet óf ze het bij jouw bedrijf proberen, maar wanneer.
Heeft jouw bedrijf strikte regels voor het wijzigen van rekeningnummers van leveranciers, of vertrouwen jullie nog volledig op de echtheid van e-mails?
