%20-%20no%20white%20space%20-%20resized-1.png?width=4164&height=948&name=logo%201%20(bold)%20-%20no%20white%20space%20-%20resized-1.png)
Social engineering en e-mailfraude zijn geen abstracte dreigingen — ze gebeuren dagelijks, ook bij het MKB. In deze case beschrijven we hoe een klant slachtoffer werd van een onderschepte factuur, wat er misging en wat we samen hebben gedaan om herhaling te voorkomen.
Wat gebeurde er?
Een klant in de bouw had al jaren een goede relatie met een vaste leverancier. Regelmatig werd een factuur per e-mail verstuurd, inclusief PDF en duidelijke specificaties. Alles leek zoals altijd — tot het fout ging.
De aanval: tussen de regels door
Een aanvaller had toegang gekregen tot het e-mailaccount van de leverancier. De hacker las mee in het bestaande e-mailverkeer en onderschepte een uitgaande factuur. Zonder dat iemand iets doorhad, werd het bankrekeningnummer op de PDF aangepast — verder bleef de factuur volledig intact.
De aangepaste factuur werd doorgestuurd vanuit het gecompromitteerde account, met dezelfde tone of voice, e-mailhandtekening en onderwerpregel als altijd. De financiële administratie van onze klant voerde de betaling netjes uit: ruim €38.000 overgemaakt, maar niet naar de leverancier.
Waarom viel het niet op?
- De mail kwam van het echte e-mailadres van de leverancier
- De opmaak, toon en inhoud waren identiek aan eerdere facturen
- Het gewijzigde banknummer leek logisch (NL-rekening)
- Er werd vertrouwd op de bestaande relatie
- Er was geen procedure om bankrekeningwijzigingen te verifiëren
Hoe is dit opgelost?
De betaling kon helaas niet meer worden teruggedraaid. Zowel de bank als de politie konden weinig betekenen. Hoewel de aanval plaatsvond via de leverancier, hebben wij samen met onze klant direct maatregelen genomen om herhaling te voorkomen.
- Inkomende e-maildomeinen van leveranciers gecontroleerd op SPF, DKIM en DMARC
- Anti-phishingfilters ingesteld om verdachte e-mails automatisch te blokkeren
- Betaalproces aangescherpt: afwijkende factuurgegevens of nieuwe bankrekeningen worden altijd telefonisch geverifieerd
- Medewerkers getraind in het herkennen van verdachte facturen en spoofing
- Regelmatige phishing-simulaties ingevoerd om medewerkers alert te houden
- Cloud Detection & Response (CDR) ingezet om verdachte inlogpogingen en sessies vanuit ongebruikelijke locaties te detecteren
- Device-beveiliging uitgerold: anti-ransomware, Endpoint Detection & Response (EDR) en automatische patching
- Leveranciers geïnformeerd over het incident en gewezen op het belang van hun eigen e-mailbeveiliging - en daarna bovenstaande ook voor meerdere leveranciers opgezet
🔎 Wat is een man-in-the-middle-aanval?
Bij een man-in-the-middle-aanval onderschept een hacker het communicatieverkeer tussen twee partijen — zonder dat zij dat zelf merken. De aanvaller leest mee, wacht op het juiste moment en past daarna de inhoud aan, bijvoorbeeld door een bankrekeningnummer te wijzigen of een bijlage te vervangen. Dit maakt het bijzonder lastig te detecteren, omdat alles verder “normaal” lijkt.
Wat kunt u hiervan leren?
Deze aanval was technisch eenvoudig, maar psychologisch slim. Door gebruik te maken van bestaande communicatie en vertrouwen, kon de aanvaller onopgemerkt toeslaan. De sleutel tot preventie ligt in bewustwording én procesbeveiliging.
Voorkom dit met simpele maatregelen:
- Verifieer altijd bankrekeningwijzigingen telefonisch via een bekend nummer
- Gebruik MFA op alle e-mailaccounts
- Voer periodiek phishingtests en awareness-trainingen uit
- Controleer op ongewenste e-mail doorsturing of inlogpogingen
- Maak medewerkers alert op signalen zoals spoed, afwijkingen of onduidelijkheden
Conclusie
Factuurfraude via e-mail komt vaker voor dan u denkt — en de schade is vaak direct en blijvend. Door processen, techniek en mensen slim te combineren, voorkomt u dat één klik of automatische betaling leidt tot financiële schade. Wilt u weten waar uw organisatie risico loopt? Neem gerust contact met ons op voor een vrijblijvende risico-inschatting of advies.
Security Operations Center
