IBAN fraude voorkomen: de complete gids voor Belgische ondernemers

IBAN fraude is een vorm van betalingsfraude waarbij criminelen het rekeningnummer op een factuur, email of betalingsinstructie wijzigen zodat het geld naar hun rekening wordt overgemaakt in plaats van naar de legitieme begunstigde. In België ontving de FOD Economie in 2024 meer dan 215 meldingen van factuurfraude met een totale schade van 3,3 miljoen euro. Uit het Fraude Trendrapport Benelux 2025 blijkt dat 57% van alle ondernemingen al minstens één keer slachtoffer is geweest van bewezen fraude, en dat de financiële impact per geval stijgt: bij 44% van de externe fraudegevallen bedraagt de schade meer dan 100.000 euro.

Sinds 9 oktober 2025 is de IBAN-naamcontrole verplicht bij alle bankoverschrijvingen in de eurozone. Dit is een stap vooruit, maar lost het probleem niet volledig op. Deze gids legt uit hoe IBAN fraude werkt, waarom de naamcontrole niet voldoende is, en welke aanvullende maatregelen je als ondernemer kunt nemen.

Hoe werkt IBAN fraude?

IBAN fraude kent verschillende verschijningsvormen, maar het einddoel is altijd hetzelfde: een betaling laten uitvoeren naar een rekening die de fraudeur controleert.

Email-gebaseerde IBAN fraude

De meest voorkomende variant in 2025-2026. Criminelen verkrijgen via phishing toegang tot de mailbox van een leverancier. Vanuit die mailbox onderscheppen ze uitgaande facturen en wijzigen het IBAN-nummer. De klant ontvangt een factuur die er volledig legitiem uitziet — correct bedrag, correcte omschrijving, correct afzenderadres — maar met een ander rekeningnummer.

Geavanceerde varianten gaan verder: de fraudeur monitort de gehackte mailbox wekenlang, leert het facturatiepatroon kennen, en stuurt de vervalste factuur op het exacte moment dat een grote betaling verwacht wordt. Soms voegen ze een begeleidend bericht toe: "Gelieve te noteren dat ons rekeningnummer is gewijzigd."

TLD-swap aanvallen

Bij een TLD-swap registreert de aanvaller een domein dat identiek is aan dat van de leverancier, maar met een andere extensie. Bijvoorbeeld: leverancier.com wordt leverancier.ru of leverancier.co. Vanaf dit lookalike-domein verstuurt de aanvaller een factuur met een aangepast IBAN. Omdat de domeinnaam er bijna hetzelfde uitziet, merkt de ontvanger het verschil niet op.

Thread hijacking met IBAN-wijziging

Bij thread hijacking kapt een aanvaller een bestaande emailconversatie. De aanvaller stuurt een bericht dat lijkt voort te bouwen op een eerdere conversatie — vaak inclusief de originele emailthread — maar met een ander afzenderadres en een gewijzigd IBAN-nummer. Omdat het bericht in de context van een bekende conversatie verschijnt, is de drempel om het te vertrouwen laag.

PDF- en documentfraude

Fraudeurs sturen een PDF-bijlage met daarin een mededeling als "nieuw rekeningnummer", "bankwijziging" of "geactualiseerde bankgegevens". Het document ziet er professioneel uit, vaak voorzien van het logo en de huisstijl van de leverancier. Het bevat een IBAN dat naar de fraudeur leidt.

Wat is de IBAN-naamcontrole en wat kan het wel en niet?

Sinds 9 oktober 2025 zijn alle banken in de eurozone verplicht om bij elke overschrijving in euro de naam van de begunstigde te vergelijken met het IBAN-nummer. Dit is geregeld via de Instant Payments Regulation van de EU. In België werken de banken hiervoor samen met SurePay als technische leverancier.

Wat de naamcontrole kan

De controle vergelijkt de naam die je invoert bij een overschrijving met de naam die bij de bank van de begunstigde gekoppeld is aan het IBAN. Er zijn drie mogelijke uitkomsten: volledige overeenstemming, gedeeltelijke overeenstemming (kleine afwijking in de naam), of geen overeenstemming. Bij geen overeenstemming krijg je een waarschuwing en kun je beslissen om de betaling al dan niet door te voeren.

Wat de naamcontrole niet kan

De naamcontrole heeft structurele beperkingen die ondernemers moeten kennen.

De controle werkt pas op het moment van betaling. Als een medewerker een vervalste factuur ontvangt, goedkeurt, inboekt en vervolgens de betaling invoert, komt de waarschuwing pas bij de allerlaatste stap. In een drukke boekhouding waar tientallen betalingen per dag worden verwerkt, worden waarschuwingen snel weggeklikt.

De controle is gevoelig voor naamvariaties. Een bedrijf dat factureert als "ABC Solutions BV" maar bij de bank staat geregistreerd als "ABC Solutions" kan een vals-negatief alarm triggeren. Wanneer medewerkers regelmatig "valse" waarschuwingen krijgen, ontstaat alarm-moeheid en worden echte waarschuwingen genegeerd.

De controle beschermt niet tegen money mules. Fraudeurs gebruiken vaak rekeningen van money mules — personen die hun bankrekening beschikbaar stellen voor criminele transacties. De naam van de money mule kan bewust overeenkomen met de naam die op de vervalste factuur staat, waardoor de naamcontrole geen alarm slaat.

De controle detecteert geen fraude in de email. Het probleem begint niet bij de betaling maar bij de email. De vervalste factuur zit al in de mailbox van het slachtoffer. De naamcontrole voorkomt niet dat medewerkers de factuur goedkeuren, inboeken en het foute IBAN-nummer overnemen in hun boekhoudsysteem.

Hoe detecteer je IBAN fraude vóór de betaling?

De meest effectieve bescherming werkt op het moment dat de frauduleuze email binnenkomt — niet pas bij de overschrijving.

IBAN-tracking in email

Vysion extraheert IBAN-nummers uit drie bronnen in elke inkomende email: de emailtekst zelf, PDF-bijlagen, en UBL/XML e-facturen. Elk geëxtraheerd IBAN wordt gevalideerd op landcode, lengte en mod-97 checksum om false positives te elimineren.

Vervolgens wordt het IBAN gekoppeld aan het afzenderadres. Voor zakelijke domeinen (bijvoorbeeld leverancier.be) wordt de koppeling gemaakt op domeinniveau. Voor publieke providers (gmail.com, outlook.com) wordt gekoppeld op het volledige emailadres. Deze koppelingen worden per organisatie bijgehouden in een database.

Wanneer van een bekend afzenderdomein een IBAN opduikt dat niet eerder is gezien, genereert het systeem direct een waarschuwing met severity CRITICAL. De medewerker ziet de waarschuwing bij het openen van de email, vóór enige betaalactie.

Aanvullende detecties

Naast de IBAN-tracking detecteert email security software meerdere patronen die wijzen op IBAN fraude:

TLD-swap detectie herkent wanneer een domein-extensie verschilt van het bekende leveranciersdomein in combinatie met een IBAN in het bericht. Thread hijacking detectie signaleert wanneer de afzender binnen een bestaande conversatie wisselt en een IBAN bevat. PDF-analyse scant bijlagen op typische aankondigingsteksten als "nieuw rekeningnummer" of "bankgegevens gewijzigd" in combinatie met een IBAN.

Proceduele maatregelen

Technische detectie moet altijd worden aangevuld met interne procedures. Verifieer elke IBAN-wijziging telefonisch via een eerder bekend nummer — nooit via het nummer op de nieuwe factuur of in de email. Gebruik het vierogenprincipe voor betalingen boven een vastgesteld bedrag. Vergelijk IBAN-nummers op facturen structureel met de gegevens in je leveranciersbestand.

Wat verandert Peppol e-facturatie aan IBAN fraude?

Vanaf 2026 wordt elektronisch factureren via het Peppol-netwerk stapsgewijs verplicht voor B2B-transacties in België. Peppol-facturen worden niet per email verstuurd maar via een beveiligd netwerk van gecertificeerde toegangspunten. Dit maakt onderschepping en wijziging door derden aanzienlijk moeilijker dan bij email.

Peppol is een belangrijke structurele verbetering, maar elimineert IBAN fraude niet volledig. De overgang naar Peppol zal jaren duren en veel bedrijven zullen in de tussenperiode facturen via beide kanalen ontvangen. Bovendien verschuiven fraudeurs hun aanpak: in plaats van facturen te onderscheppen, richten ze zich op het hacken van boekhoudsystemen en ERP-software om bankgegevens bij de bron te wijzigen.

Zolang bedrijven facturen per email ontvangen — en dat zal nog jaren het geval zijn — blijft email-gebaseerde IBAN-detectie noodzakelijk.

Veelgestelde vragen over IBAN fraude

Kan mijn bank het geld terugvorderen na IBAN fraude?

In theorie kan je bank de bank van de begunstigde vragen om het geld terug te storten. In de praktijk is dit zelden succesvol: fraudeurs sluizen het geld direct door naar andere rekeningen, vaak in het buitenland. Hoe sneller je de fraude meldt, hoe groter de kans. Contacteer je bank onmiddellijk via het noodnummer en dien klacht in bij de politie.

Is IBAN fraude strafbaar in België?

Ja. IBAN fraude valt onder valsheid in geschrifte (art. 193-214 Strafwetboek) en oplichting (art. 496 Strafwetboek). Meld de fraude bij de politie en via ConsumerConnect (meldpunt.belgie.be). De Economische Inspectie kan een onderzoek openen.

Dekt mijn cyberverzekering IBAN fraude?

Dat hangt af van je polis. Sommige cyberverzekeringen dekken directe financiële schade door email-gebaseerde fraude, andere dekken alleen de kosten van incident response en forensisch onderzoek. Controleer specifiek of "social engineering fraude" en "betalingsfraude via email" gedekt zijn. Veel standaard bedrijfsverzekeringen dekken dit niet.

Hoe weet ik of mijn leverancier gehackt is?

Directe signalen zijn onder meer: een email van je leverancier met een IBAN-wijziging, een factuur met een afwijkend rekeningnummer, of een email die technisch van een ander domein komt dan het opgegeven afzenderadres. Indirecte signalen zijn: je leverancier meldt dat klanten facturen niet betaald hebben (terwijl jij denkt van wel), of je ontvangt een aanmaning voor een factuur die je al betaald hebt — maar aan het verkeerde rekeningnummer.

Wat is het verschil tussen IBAN fraude en spoofing?

Bij IBAN fraude wordt het rekeningnummer op een factuur gewijzigd. Bij spoofing wordt het afzenderadres van een email vervalst zodat het lijkt alsof het bericht van een andere persoon of organisatie komt. De twee technieken worden vaak gecombineerd: een gespoofd afzenderadres in combinatie met een vervalst IBAN-nummer op een bijgevoegde factuur.