Onderzoek: Nederlandse organisaties vaak wekenlang ongemerkt slachtoffer van e-mailfraude

Nederlandse organisaties worden steeds vaker slachtoffer van gerichte e-mailfraude waarbij aanvallers gemiddeld 24 dagen onopgemerkt toegang houden tot mailboxen. Dat blijkt uit het Incident Response Report 2026 van cybersecuritybedrijf Eye Security, gebaseerd op 630 cyberincidenten bij organisaties in de Benelux en Europa tussen 2023 en 2025.

Het rapport is een van de weinige trendanalyses die is gebaseerd op echte incidentrespons-data uit Europa in plaats van meldingen, enquêtes of schattingen. Volgens Eye Security geeft dit een ongefilterd beeld van hoe aanvallen zich in de praktijk ontwikkelen en waarom ze zo lang onzichtbaar blijven.

E-mailfraude dominant aanvalstype

Meer dan 70 procent van alle onderzochte incidenten betreft Business Email Compromise (BEC): aanvallen waarbij criminelen misbruik maken van bestaande e-mailaccounts. In ruim 40 procent van de gevallen was één phishingmoment voldoende om toegang te krijgen.

Zodra aanvallers binnen zijn, handelen ze niet direct. Ze lezen mee, analyseren betaalprocessen en passen communicatie subtiel aan. Financiële schade ontstaat vaak snel, maar de aanval zelf blijft weken onder de radar.

“In veel Nederlandse organisaties wordt cyberdreiging nog steeds gezien als iets technisch,” zegt Lodi Hensen, VP Security Operations bij Eye Security. “Maar wat we in de praktijk zien, is dat aanvallers vooral misbruik maken van vertrouwen en dagelijkse werkprocessen.”

Identiteiten belangrijker dan techniek

Volgens het rapport zijn gebruikersaccounts en digitale identiteiten het belangrijkste aanvalsvlak geworden. Aanvallers doen zich voor als collega’s, leveranciers of managers en maken misbruik van bestaande vertrouwensrelaties.

Zelfs multi-factor authentication blijkt niet altijd voldoende. Sinds begin 2025 wist deze aanpak in 62 procent van de gevallen alsnog succesvol MFA te omzeilen, bijvoorbeeld doordat medewerkers onbewust een login bevestigden of doordat aanvallers al actief waren in een bestaande sessie.

“Een aanval voelt zelden als een aanval,” aldus Hensen. “Het voelt als normaal werk, met kleine afwijkingen die in de drukte van de dag makkelijk worden genegeerd.”

Ransomware minder frequent, maar grote impact

Naast e-mailfraude blijft ransomware een groot risico. De gemiddelde losgeldeis bedroeg 613.000 dollar, met uitschieters boven de miljoen. Deze aanvallen beginnen meestal niet met complexe hacks, maar met bekende zwakke plekken zoals slecht beveiligde applicaties, onveilige remote toegang of phishing.

Vooral sectoren als industrie, bouw en logistiek worden hard geraakt, omdat stilstand direct leidt tot financiële schade.

Snelle detectie maakt het verschil

Organisaties met continue monitoring zien een groot verschil in impact. Bij klanten met Managed Detection & Response werd e-mailfraude gemiddeld binnen 24 minuten gedetecteerd, tegenover meer dan 24 dagen bij organisaties zonder actieve detectie.

“Dit rapport laat zien hoe groot het verschil is tussen weten en aannemen,” zegt Hensen. “Wie ervan uitgaat dat alles goed gaat, ziet de aanval pas als de schade er al is.”

Over Eye Security

Eye Security is een Europese cybersecurityspecialist die organisaties helpt cyberaanvallen vroegtijdig te detecteren en te stoppen. Vanuit 24/7 security operations analyseert het bedrijf dagelijks actieve aanvallen bij organisaties in de Benelux en Europa. Die praktijkervaring vormt de basis voor data-gedreven inzichten en een geïntegreerde aanpak van Managed Detection & Response, waarin AI-gedreven technologie, security-expertise en cyberverzekering samenkomen.