Het kopen van een woning of bedrijfspand is een van de grootste financiële transactie die je maakt. Precies dat maakt de vastgoedsector zo aantrekkelijk voor cybercriminelen. Er gaan enorme bedragen over de digitale toonbank, er zijn meerdere partijen betrokken, koper, verkoper, makelaar, notaris, hypotheekadviseur en de tijdsdruk is hoog. Een perfecte cocktail voor fraude.
In Nederland heeft inmiddels 42% van de bedrijven het afgelopen jaar minimaal één digitale aanval meegemaakt. Dat is fors meer dan in buurlanden als België (22%) en Frankrijk (31%). En juist professionals in de vastgoedsector maken zich grote zorgen over de toename van cyberaanvallen. Niet zonder reden: zodra een aanval slaagt, schat zes op de tien getroffen organisaties de schade op minimaal €940.000.
Dit artikel richt zich specifiek op de cybergevaren waar makelaars, vastgoedkantoren en aanverwante dienstverleners mee te maken krijgen, met Business Email Compromise (BEC) als grootste dreiging. Maar ook met concrete stappen die je vandaag nog kunt nemen om jouw kantoor weerbaarder te maken.
Business Email Compromise: de stille miljardenroof
Van alle cyberaanvallen is BEC veruit de gevaarlijkste voor de vastgoedsector. Bij een BEC-aanval doet een crimineel zich via e-mail voor als een vertrouwde partij een notaris, een collega-makelaar, een hypotheekverstrekker of zelfs een koper om betalingen om te leiden naar een frauduleuze rekening.
De cijfers liegen er niet om. Wereldwijd hebben BEC-fraudes bedrijven de afgelopen vijf jaar zo’n $51 miljard gekost volgens de FBI. Bijna 80% van de bedrijven heeft minstens één keer met een BEC-aanval te maken gehad, en de gemiddelde schade per succesvol incident ligt rond de €120.000. Het MKB wordt daarbij opvallend hard geraakt: ruim 41% van alle BEC-aanvallen is gericht op kleine en middelgrote ondernemingen.
Vastgoed is daarbij een van de meest getroffen sectoren. Volgens recente onderzoeken is de sector goed voor zo’n 11 tot 28% van alle BEC-aanvallen wereldwijd. Dat is geen toeval. Een vastgoedtransactie kenmerkt zich door precies de ingrediënten die BEC zo effectief maken: hoge bedragen, strakke deadlines, meerdere partijen die onderling e-mailen, en een verwachting dat er op het laatste moment rekeningnummers of instructies worden doorgestuurd.
Hoe werkt een BEC-aanval op een makelaarskantoor in de praktijk?
Stel: een koper staat op het punt de waarborgsom over te maken. De notaris stuurt per e-mail de betaalinstructies. Maar wat de koper niet weet, is dat een crimineel al weken meeleest in het mailverkeer, via een gehackt e-mailaccount of een slim nagemaakte e-mailadres. Vlak voor de deadline stuurt de crimineel een nagebootste e-mail met “gewijzigde” betaalgegevens. De koper maakt het geld over. Weg.
Of denk aan een variant waarbij het e-mailaccount van de makelaar zelf is overgenomen. De crimineel stuurt vanuit dat account berichten naar klanten, compleet met de juiste handtekening, eerdere e-mailketens en het verwachte taalgebruik. Door de opkomst van generatieve AI is dit soort impersonatie alleen maar overtuigender geworden een toename van maar liefst 1.760% in BEC-aanvallen is geregistreerd sinds de opkomst van AI-tools.
Niet alleen BEC: de andere dreigingen op een rij
Hoewel BEC de grootste financiële schade veroorzaakt, zijn er meer cyberdreigingen waar de vastgoedsector kwetsbaar voor is.
Phishing en social engineering vormen het startpunt van vrijwel elke aanval. Een overtuigende e-mail, een nagebouwde inlogpagina van Funda of uw CRM-systeem, een WhatsApp-bericht dat van een collega lijkt te komen. Het doel is altijd hetzelfde: inloggegevens of gevoelige informatie bemachtigen. Ongeveer 95% van alle BEC-aanvallen begint met een phishing-e-mail. Bijna 30% van de medewerkers herkent dergelijke berichten niet als frauduleus.
Ransomware is de aanval waarbij de volledige bedrijfsvoering kan worden platgelegd. Criminelen versleutelen jouw bestanden (klantdossiers, koopovereenkomsten, taxatierapporten) en eisen losgeld voor de ontgrendeling. Het Nationaal Cyber Security Centrum en de Autoriteit Persoonsgegevens waarschuwen al langer dat ransomware een van de grootste bedreigingen vormt voor het Nederlandse bedrijfsleven.
Datalekken en identiteitsfraude zijn bijzonder relevant in een sector die dagelijks werkt met BSN-nummers, kopieën van identiteitsbewijzen, financiële gegevens en adresgegevens. Een datalek bij een makelaarskantoor is niet alleen een AVG-overtreding met potentieel forse boetes, maar kan ook leiden tot identiteitsfraude bij jouw klanten.
CEO-fraude en factuurfraude zijn varianten waarbij criminelen zich voordoen als een leidinggevende of leverancier en om spoedbetalingen vragen. In de hectiek van een druk makelaarskantoor met meerdere gelijktijdige transacties is de kans groter dat iemand zonder extra controle op “betalen” klikt.
Waarom juist makelaars extra kwetsbaar zijn
De vastgoedsector heeft een aantal kenmerken die haar bijzonder vatbaar maken voor cyberaanvallen.
Ten eerste is er de aard van de transacties: grote bedragen die binnen strakke termijnen moeten worden overgemaakt. Criminelen spelen in op die tijdsdruk. Een e-mail met “SPOED: gewijzigde betaalinstructies” krijgt onder druk sneller een klik dan in een rustige werkomgeving.
Ten tweede werken veel makelaarskantoren, zeker in het MKB-segment, met beperkte IT-budgetten. Een firewall en antivirusprogramma worden vaak als voldoende beschouwd, terwijl de dreigingen allang die basislijn zijn gepasseerd. Volgens de NVM is de makelaar een potentieel doelwit, vergelijkbaar met de één op de tien MKB-bedrijven die slachtoffer wordt van een hack.
Ten derde is er de complexe keten van betrokken partijen. In een gemiddelde transactie communiceren koper, verkoper, makelaar, taxateur, hypotheekadviseur en notaris allemaal via e-mail. Elk van die schakels is een potentieel aanvalspunt.
En ten vierde: de enorme hoeveelheden gevoelige persoonsgegevens die dagelijks worden verwerkt en gedeeld. Die data is waardevol, niet alleen voor directe fraude, maar ook op het dark web.
Uit de praktijk: BEC-aanval op vastgoedkantoor tijdig gestopt
Dit zijn geen theoretische scenario’s. Vorige maand nog heeft Tien Security bij een van onze klanten in de vastgoedsector een BEC-aanval weten te voorkomen. Een medewerker van het kantoor ontving een e-mail die afkomstig was van een notaris waarmee het kantoor regelmatig samenwerkt. In het bericht werd gevraagd om betaalgegevens te verifiëren via een link, op het eerste gezicht volledig legitiem, met de juiste handtekening, het juiste logo en een verwijzing naar een lopend dossier.
Doordat wij eerder samen met dit kantoor de e-mailbeveiliging hadden aangescherpt werd het bericht direct geflagd als verdacht. Bovendien had het team kort daarvoor een awareness-training gevolgd waarin precies dit type aanval aan bod kwam. De medewerker twijfelde, belde de notaris via het telefoonnummer in het eigen systeem, en kreeg bevestigd dat de e-mail niet van hen afkomstig was.
Zonder die combinatie van technische maatregelen en een getraind team had deze aanval kunnen slagen. Het ging om een transactie met een aanzienlijk bedrag. Het verschil tussen tienduizenden euro’s verlies en een afgewende dreiging zat in voorbereiding, niet in geluk.
Tien concrete stappen naar betere cyberweerbaarheid
Het goede nieuws: je hoeft geen IT-expert te zijn om de basisbeveiliging van jouw kantoor drastisch te verbeteren. Hieronder tien acties die je direct kunt ondernemen.
1. Stel multifactor-authenticatie (MFA) in op alle zakelijke accounts. Dit is de belangrijkste enkele maatregel die je kunt nemen. Met MFA heeft een crimineel niet genoeg aan een gestolen wachtwoord, er is altijd een tweede verificatie nodig via uw telefoon. Zet dit aan op jouw e-mail, CRM-systeem, Funda-account en alle andere zakelijke platformen. Gebruik bij voorkeur een authenticator-app in plaats van SMS.
2. Implementeer een verificatieprotocol voor betalingen. Maak het een ijzeren regel: elke wijziging van betaalgegevens wordt altijd telefonisch geverifieerd via een eerder bekend telefoonnummer. Niet via het nummer in de e-mail, maar via het nummer dat al in jouw systeem staat. Communiceer dit protocol actief naar jouw klanten, zodat ook zij weten dat je nooit per e-mail om rekeningwijzigingen zult vragen.
3. Train medewerkers structureel. Eenmalige awareness-sessies zijn niet genoeg. Werk met een platform zoals Guardey, waarin medewerkers continue leren phishing te herkennen, weten wat ze moeten doen bij een verdacht bericht, en oefenen met realistische scenario’s. Zorg dat er een cultuur heerst waarin het normaal is om te zeggen: “Ik vertrouw deze e-mail niet, even checken.”
4. Gebruik sterke, unieke wachtwoorden met een wachtwoordmanager. “Onroerendgoedsupermooi” of de naam van het kantoor gevolgd door het jaartal is niet voldoende. Een wachtwoordmanager genereert en onthoudt complexe wachtwoorden voor elk account. Jouw medewerkers hoeven slechts één hoofdwachtwoord te onthouden.
5. Houd software en systemen up-to-date. Elke verouderde applicatie is een potentiële open deur. Zet automatische updates aan waar mogelijk, en zorg dat jouw besturingssysteem, e-mailclient, browser en alle zakelijke software altijd op de nieuwste versie draaien.
6. Beveilig jouw e-maildomein met SPF, DKIM en DMARC. Dit zijn technische standaarden die het moeilijker maken voor criminelen om e-mails te versturen die van jouw domein lijken te komen. Jouw IT-partner of hostingprovider kan dit instellen. Het beschermt niet alleen jou, maar ook jouw klanten en partners tegen spoofing vanuit uw naam.
7. Maak dagelijks back-ups en test het herstel. Een back-up die u nooit test, is geen back-up. Zorg voor automatische dagelijkse back-ups van de klantgegevens, dossiers en e-mail, bij voorkeur op een locatie die niet direct bereikbaar is vanuit het netwerk (zodat ransomware er niet bij kan). En test minstens elk kwartaal of je daadwerkelijk kunt herstellen vanuit die back-up.
8. Beperk toegangsrechten tot wat nodig is. Niet elke medewerker hoeft toegang te hebben tot alle klantdossiers of financiële gegevens. Werk met het principe van minimale rechten: geef mensen alleen toegang tot de systemen en data die ze voor hun functie nodig hebben.
9. Stel een incident-responsplan op. Weet wat je moet doen als het toch misgaat. Wie bel je als eerste? Hoe isoleer je een besmet systeem? Wanneer moet melding doen bij de Autoriteit Persoonsgegevens? Een eenvoudig plan op papier, dat iedereen kent, kan het verschil maken tussen een beheersbaar incident en een ramp.
10. Schakel professionele hulp in. Cybersecurity is een vak. Net zoals jij jouw klanten adviseert om een makelaar in te schakelen bij de koop van een woning, is het verstandig om een cybersecurity-specialist te betrekken bij de beveiliging van jouw kantoor. Een eenmalige scan of periodieke audit kan kwetsbaarheden blootleggen waarvan jij het bestaan niet vermoedde.
Tot slot: het begint bij bewustzijn
De vastgoedsector digitaliseert in hoog tempo. Online bezichtigingen, digitale koopcontracten, geautomatiseerde taxaties, het maakt het werk efficiënter, maar vergroot ook het aanvalsoppervlak. De crimineel van vandaag hoeft geen inbraak te plegen in jouw kantoor. Een overtuigende e-mail volstaat.
Het goede nieuws is dat de meeste aanvallen te voorkomen zijn met relatief eenvoudige maatregelen. MFA instellen kost tien minuten. Een verificatieprotocol voor betalingen past op één A4. En een eerste cyberscan van uw kantoor geeft direct inzicht in waar de grootste risico’s zitten.
De vraag is niet óf jouw kantoor een keer doelwit wordt van een cyberaanval. De vraag is of jij er klaar voor bent.
Tien Security helpt ZZP’ers en MKB-bedrijven in Nederland met praktische cybersecurity. Van een eerste scan tot doorlopende begeleiding. Meer weten? Neem contact op via tiensecurity.nl.