Door Scott Wilson, SVP & Global Chief Security & Privacy Officer | Bewerkt door <\/em>Jeremiah Akin, Senior Manager, Global Brand & Content Marketing<\/em><\/a><\/p>\n\n <\/a><\/a>Personeels- en wervingsbureaus zijn gebouwd op vertrouwen. Jullie verwerken gevoelige gegevens, beheren grote hoeveelheden financi\u00eble transacties en onderhouden doorlopende relaties met tientallen, soms honderden, leveranciers en partners. Dat maakt jullie tot een doelwit. <\/p>\n\n Cybercriminelen weten dit. Ze gaan niet alleen achter grote ondernemingen aan met speciale IT-afdelingen. Bedrijven met minder dan 100 werknemers ontvangen 350% meer social engineering-aanvallen dan grotere organisaties<\/a>, en ruwweg de helft van alle kleine bedrijven heeft geen cyberbeveiligingsplan. Als uw instantie heeft gewerkt zonder een duidelijke basisbeveiliging, dan bent u niet de enige. Het is de moeite waard om daar nu verandering in te brengen. <\/p>\n\n Dit artikel gaat over de basiscontroles die elk wervings- en selectiebureau zou moeten uitvoeren. Geen geavanceerde technische kennis vereist. <\/p>\n\n Dezelfde dingen die personeels- en wervingsbureaus goed maken in hun werk, maken ze ook aantrekkelijk voor fraudeurs: frequente communicatie met nieuwe contacten, regelmatige overboekingen en betalingen aan leveranciers, en slanke teams die snel werken.<\/p>\n\n BEC (Business Email Compromitting)<\/a> is een van de schadelijkste vormen van fraude gericht tegen bedrijven. Het werkt als volgt: een crimineel gebruikt een valse of gecompromitteerde e-mailaccount om een legitieme betaling om te leiden naar een frauduleuze rekening. De FBI rapporteerde alleen al in 2024 $ 2,77 miljard aan BEC-gerelateerde verliezen, en dat cijfer geeft alleen weer wat er is gerapporteerd. Volgens de 2026 AFP Payments Fraud and Control Survey<\/a> heeft 76% van de Amerikaanse organisaties in 2025 te maken gehad met pogingen tot of daadwerkelijke fraude met betalingen, en 74% heeft specifiek te maken gehad met BEC. <\/p>\n\n De tactiek is ook veranderd. Criminelen vertrouwen niet langer op slecht geschreven e-mails die gemakkelijk te herkennen zijn. Ze gebruiken AI om de schrijfstijl na te bootsen van mensen die je al vertrouwt, vervalsen e-mailadressen die er bijna identiek uitzien als legitieme adressen en produceren urgentie om je te laten handelen voordat je nadenkt. <\/p>\n\n De dreigingsinformatie van Hoxhunt<\/a> registreerde een 14x stijging in AI-gegenereerde phishingaanvallen tijdens de feestdagen van 2025, waarbij AI-ondersteunde aanvallen begin 2026 ongeveer 40% van alle gerapporteerde phishing zouden uitmaken. Dit zijn niet de voor de hand liggende zwendelpraktijken van vijf jaar geleden. <\/p>\n\n Dit zijn de controles die elk agentschap v\u00f3\u00f3r alles zou moeten uitvoeren. Ze zijn niet ingewikkeld, maar ze maken een enorm verschil. <\/p>\n\n MFA vereist een tweede vorm van verificatie wanneer iemand inlogt op een account: een code van een app, een sms of een hardwaresleutel. Zelfs als een crimineel je wachtwoord heeft, voorkomt MFA dat hij binnenkomt. <\/p>\n\n Onderzoek aangehaald door Microsoft<\/a> toont aan dat MFA 99% van de phishing-gerelateerde accountcompromitteringen blokkeert. Desondanks heeft slechts 27% van de kleine bedrijven met minder dan 25 werknemers MFA ingeschakeld. Schakel het in voor elke account die het aanbiedt: e-mail, financi\u00eble platforms, je ATS, alles. <\/p>\n\n Antivirussoftware is niet eenmalig te installeren. Het moet actief zijn, worden bijgewerkt en actief worden gecontroleerd. Gerenommeerde opties zijn Malwarebytes, Bitdefender en ESET. Als je team op meerdere apparaten werkt, zorg er dan voor dat elk apparaat gedekt is, niet alleen de computers op kantoor. <\/p>\n\n Software-updates verhelpen zwakke plekken in de beveiliging. Als je besturingssysteem, browser of applicaties verouderd zijn, blijven die kwetsbaarheden open. Stel automatische updates in op elk apparaat dat je team gebruikt. Dit is een van de eenvoudigste en meest effectieve dingen die je kunt doen. <\/p>\n\n Zwakke of hergebruikte wachtwoorden zijn een van de meest voorkomende manieren waarop accounts in gevaar komen. Een wachtwoordmanager genereert sterke, unieke wachtwoorden voor elke account en slaat deze veilig op. Schakel automatisch invullen in de browser uit voor gevoelige sites en sla geen wachtwoorden op in uw browser. <\/p>\n\n Financi\u00eble controles zijn waar fraudeurs de meeste energie in steken. Deze stappen maken het voor hen aanzienlijk moeilijker om te slagen. <\/p>\n\n Als je een e-mail ontvangt waarin je wordt gevraagd om de bankgegevens van een leverancier bij te werken, ga daar dan pas op in als je die leverancier rechtstreeks hebt gebeld met een nummer dat je al in je bestand hebt staan. Gebruik nooit een telefoonnummer dat in de e-mail zelf staat. Deze ene stap stopt de meerderheid van de BEC-pogingen. <\/p>\n\n Vereis dat ten minste twee personen elke overboeking of elektronische betaling boven een bepaalde drempel goedkeuren. Dit wordt ook wel het \"vier ogen principe\" genoemd en het is een van de meest effectieve afschrikmiddelen. Zelfs als \u00e9\u00e9n persoon wordt bedrogen, geeft een tweede goedkeurder je een controlepunt. <\/p>\n\n Hoe sneller je een frauduleuze overboeking ontdekt, hoe beter je kansen om het geld terug te krijgen. De meeste banken hebben een beperkte periode om een overboeking terug te halen. Een dagelijks reconciliatieproces dat uitgaande betalingen vergelijkt met goedgekeurde verzoeken en onbekende rekeningen van begunstigden markeert, is de moeite waard om in je routine op te nemen. <\/p>\n\n Accepteer geen bankgegevens van leveranciers via e-mail. Gebruik in plaats daarvan een beveiligd portaal of een geverifieerd intakeproces. Dit verwijdert een van de meest voorkomende ingangen voor betalingsfraude. <\/p>\n\n Dit is een technische kwestie, maar je IT-contactpersoon of e-mailprovider kan dit oplossen. Drie protocollen, SPF, DKIM en DMARC, werken samen om te voorkomen dat criminelen valse e-mails versturen die van jouw domein afkomstig lijken te zijn. Als deze niet zijn geconfigureerd, kan iemand zich voordoen als het e-mailadres van je agentschap en het gebruiken om je partners of klanten op te lichten. <\/p>\n\n Vraag je IT-ondersteuning om te bevestigen dat ze alle drie correct zijn ingesteld. Het is een eenmalige configuratie die je reputatie en je partners beschermt. <\/p>\n\n
\n\nWaarom agentschappen een doelwit zijn<\/h3>\n\n
De niet-onderhandelbare items<\/h3>\n\n
Multi-factor authenticatie (MFA) inschakelen<\/em><\/h4>\n\n
Gebruik gerenommeerde antivirussoftware en houd deze up-to-date<\/em><\/h4>\n\n
Alles instellen om automatisch bij te werken<\/em><\/h4>\n\n
Gebruik een wachtwoordmanager<\/em><\/h4>\n\n
Uw betalingen beschermen<\/h3>\n\n
Verifieer betalingswijzigingen buiten de band<\/em><\/h4>\n\n
Dubbele autorisatie vereisen voor overschrijvingen<\/em><\/h4>\n\n
Dagelijks je rekeningen controleren<\/em><\/h4>\n\n
Beveilig de manier waarop verkopers bankgegevens aanleveren<\/em><\/h4>\n\n
Uw e-maildomein beschermen<\/h3>\n\n
Een rapporteringscultuur opbouwen<\/h3>\n\n