Zakelijke mailbox gehackt? 15 signalen en wat je direct moet doen

Kort antwoord: Een zakelijke mailbox is verdacht als er mails zijn verzonden die je niet herkent, klanten vreemde facturen ontvangen, er onbekende inboxregels of doorstuurregels staan, MFA-meldingen verschijnen die niemand heeft gestart of Microsoft 365 vreemde aanmeldingen toont. Handel rustig: bewaar bewijs, stop betaalrisico’s, wijzig niet blind alleen het wachtwoord en laat mailboxregels, sessies, MFA, herstelgegevens en gekoppelde apps goed nakijken.

Eerste 3 acties als je zakelijke mailbox verdacht is

Situatie	Mogelijke oorzaak	Eerste veilige stap
Klanten krijgen vreemde mails of facturen	Mailboxmisbruik, spoofing of factuurfraude	Bewaar bewijs en bel betrokken klanten via bekende nummers
Microsoft 365 toont vreemde aanmeldingen	Wachtwoord, sessie of MFA kan misbruikt zijn	Controleer sessies, MFA-methodes en herstelgegevens
Er staan onbekende regels in Outlook of webmail	Meekijken, verbergen of doorsturen van mail	Controleer inboxregels en doorstuurregels voordat je opschoont

Doe dit eerst:

1. Verwijder niets. Maak screenshots van verdachte mails, facturen, inboxregels, aanmeldingen en MFA-meldingen.
2. Stop betaalrisico. Is er een factuur, IBAN of betaalverzoek betrokken? Bel klanten, bank of boekhouder via bekende contactgegevens.
3. Kijk verder dan het wachtwoord. Controleer ook sessies, MFA, herstelgegevens, doorstuurregels, inboxregels en gekoppelde apps.

Snel hulp nodig bij een zakelijke mailbox of Microsoft 365-incident?

Krijgen klanten vreemde mails, is er een factuur aangepast of vertrouw je je zakelijke mailbox niet meer? Dan is snelheid belangrijk, maar paniek helpt niet. InstantIT helpt zzp’ers en kleine kantoren rustig uitzoeken wat er is gebeurd, welke mailbox geraakt kan zijn en welke stappen nu veilig zijn.

• Hulp bij zakelijke e-mailfraude en gehackte mailbox
• Microsoft 365 hulp voor zzp’ers en kleine teams
• Hulp op afstand bij mail, Outlook en Microsoft 365

Gebruik je de mailbox voor facturen, klantcontact, boekhouding, planning of offertes? Dan is een verdachte mailbox geen klein Outlook-probleem meer, maar mogelijk een bedrijfsrisico.

Wanneer is een zakelijke mailbox echt “gehackt”?

Niet elke verdachte mail betekent dat iemand in je mailbox zit. Soms is er sprake van spoofing: criminelen doen alsof een mail vanaf jouw domein komt, zonder dat ze echt toegang hebben tot je mailbox. Dat is vervelend en kan schadelijk zijn, maar het is iets anders dan een overgenomen mailbox.

Bij een echte mailboxcompromis heeft iemand mogelijk wél toegang gehad tot je e-mail, Microsoft 365, webmail, Outlook, Teams, OneDrive of gekoppelde diensten. Dan kan een aanvaller meelezen, mails versturen, facturen aanpassen, wachtwoorden resetten, inboxregels instellen of klantcontact misbruiken.

Voor zzp’ers en kleine bedrijven is dat extra gevoelig. Vaak loopt bijna alles via één mailbox: offertes, klantvragen, facturen, bankmeldingen, boekhouder, hosting, Microsoft-account en soms zelfs toegang tot webshops of administratiepakketten.

15 signalen dat e-mailfraude of factuurfraude kan spelen

1. Er zijn mails verzonden die je niet herkent

Een klassiek signaal is dat klanten, leveranciers of collega’s reageren op mails die jij niet hebt gestuurd. Soms staan die mails nog in “Verzonden items”, maar soms zijn ze bewust verwijderd.

Let vooral op berichten met:

• betaalverzoeken
• gewijzigde bankrekeningnummers
• linkjes naar documenten
• vage teksten zoals “zie bijlage” of “kun je dit vandaag betalen?”
• taalgebruik dat net niet bij jou past

2. Klanten krijgen een factuur met een ander IBAN

Dit is een serieus alarmsignaal. Bij factuurfraude proberen criminelen vaak vlak voor betaling het rekeningnummer te wijzigen. Soms sturen ze een nieuwe factuur vanaf jouw echte mailbox. Soms sturen ze een losse “correctie” of “wijziging bankgegevens”.

Bel klanten direct als er een risico is dat zij naar een verkeerd rekeningnummer betalen. Wacht daar niet mee tot alles technisch is uitgezocht.

3. Er staan onbekende inboxregels of doorstuurregels

Controleer in Outlook, webmail en Microsoft 365 of er regels staan die mail automatisch doorsturen, verplaatsen, verwijderen of verbergen. Criminelen gebruiken dit vaak om stil mee te lezen of om waarschuwingen buiten beeld te houden.

Voorbeelden:

• alle mails met “factuur” worden doorgestuurd
• mails van Microsoft worden verwijderd
• bank- of boekhoudmails worden naar een map verplaatst
• alle inkomende mail wordt gekopieerd naar een onbekend adres

Het NCSC noemt het controleren van e-mailfilters en doorstuurregels expliciet als herstelstap bij een gehackt account. Een doorstuurregel kan namelijk worden gebruikt om resetmails mee te lezen.

4. Je krijgt MFA- of Authenticator-meldingen die je niet zelf startte

Krijg je meldingen op je telefoon om een aanmelding goed te keuren, terwijl jij niet probeert in te loggen? Dan kan iemand je wachtwoord kennen of misbruik proberen te maken van je Microsoft-account.

Klik niet zomaar op “goedkeuren” om de melding weg te krijgen. Noteer het tijdstip, maak eventueel een screenshot en controleer waar de aanmelding vandaan lijkt te komen.

5. Microsoft 365 toont aanmeldingen vanaf vreemde locaties

Bij zakelijke Microsoft 365-accounts kun je vaak aanmeldactiviteit bekijken. Zie je aanmeldingen uit landen of steden waar jij of je medewerkers niet zijn geweest? Dan is dat verdacht.

Let niet alleen op landnamen. Aanvallers kunnen VPN’s gebruiken. Kijk ook naar tijdstippen, apparaten, browsers en patronen die niet logisch zijn.

6. Je wachtwoord werkt ineens niet meer

Als je niet meer kunt inloggen, kan het zijn dat iemand het wachtwoord, herstelmailadres of telefoonnummer heeft aangepast. Dit is urgenter dan een standaard Outlook-foutmelding.

Probeer niet eindeloos in te loggen. Dat kan extra blokkades veroorzaken. Gebruik de officiële herstelroute van de aanbieder en kijk of er nog andere beheeraccounts zijn die kunnen helpen.

7. Herstelgegevens zijn aangepast

Controleer of het herstelmailadres, telefoonnummer, beveiligingsvragen of MFA-methodes nog kloppen. Een aanvaller probeert soms eerst herstelopties toe te voegen of te wijzigen, zodat hij later opnieuw toegang kan krijgen.

Bij Microsoft 365 is dit extra belangrijk als dezelfde omgeving ook Teams, OneDrive, SharePoint of bedrijfsdocumenten bevat.

8. Mails van Microsoft, bank of boekhouder verdwijnen

Als belangrijke waarschuwingen of boekhoudmails niet meer binnenkomen, kan dat toeval zijn. Maar in combinatie met andere signalen kan het wijzen op inboxregels die mails verbergen.

Zoek op termen als:

• Microsoft
• security
• wachtwoord
• factuur
• betaling
• bank
• boekhouder
• IBAN
• MFA
• verificatie

Controleer ook prullenbak, archief, ongewenste mail en verborgen mappen.

9. Klanten bellen omdat je mail “raar” overkomt

Neem dat serieus. Klanten merken soms eerder dan jij dat er iets niet klopt. Bijvoorbeeld omdat je mailstijl anders is, de handtekening ontbreekt of omdat er plots haast wordt gezet achter een betaling.

Vraag de klant de verdachte mail door te sturen als bijlage of screenshot, maar laat hem niet op links klikken of bijlagen openen.

10. Er staan onbekende apparaten of sessies ingelogd

Veel diensten tonen waar je account is ingelogd. Zie je onbekende apparaten, browsers of sessies? Log dan niet alleen uit op je eigen laptop, maar beëindig alle sessies als dat kan.

Alleen het wachtwoord wijzigen is niet altijd genoeg als er nog actieve sessies, tokens of gekoppelde apps bestaan.

11. Er zijn onbekende apps of machtigingen gekoppeld

Bij Microsoft 365 en Google Workspace kunnen apps toegang vragen tot mailbox, bestanden of profielinformatie. Een kwaadwillende app kan soms toegang houden zonder dat het direct zichtbaar is in Outlook.

Controleer daarom niet alleen wachtwoorden, maar ook gekoppelde apps, toestemming voor derde partijen en onbekende integraties.

12. Er komen foutmeldingen over verzendlimieten of spam

Als je mailbox is gebruikt om veel mails te versturen, kan je provider of Microsoft het account beperken. Je ziet dan meldingen over spam, verzendlimieten of geblokkeerde uitgaande mail.

Dit kan betekenen dat je account is misbruikt om phishing, spam of malwarelinks te versturen.

13. Je handtekening, displaynaam of afzenderinstellingen zijn aangepast

Soms verandert een aanvaller subtiel de naam, handtekening of reply-to-instelling. Daardoor lijken reacties naar jou te gaan, maar komen ze bij iemand anders terecht.

Controleer:

• handtekening
• reply-to-adres
• aliassen
• gedeelde mailboxen
• gemachtigden
• automatische antwoorden
• afzendernaam

14. Er zijn bestanden gedeeld via OneDrive, Teams of SharePoint

Bij Microsoft 365 gaat het niet alleen om e-mail. Een aanvaller kan ook documenten delen, Teams-berichten sturen of links naar bestanden gebruiken om vertrouwen te wekken.

Zie je onbekende deelacties of bestanden met namen als “factuur”, “betaling”, “contract” of “offerte”? Controleer dan of er meer dan alleen de mailbox geraakt is.

15. Collega’s krijgen verzoeken uit naam van directie of administratie

Bij kleine bedrijven gaat dit vaak via korte berichten: “Kun je dit vandaag overmaken?” of “Wil je deze factuur snel verwerken?” Soms lijkt het alsof het van de directeur, eigenaar, boekhouder of administratie komt.

Het NCSC beschrijft CEO-fraude als vorm van phishing waarbij berichten lijken te komen van leidinggevenden of sleutelpersonen binnen een bedrijf. Dit kan extra geloofwaardig zijn als criminelen eerder in de mailbox hebben meegelezen.

Wat moet je in de eerste 30 minuten doen?

1. Bewaar bewijs

Verwijder verdachte mails niet direct. Maak screenshots van:

• verdachte verzonden mails
• inboxregels
• doorstuurinstellingen
• foutmeldingen
• MFA-meldingen
• onbekende aanmeldingen
• aangepaste facturen of IBAN-wijzigingen

Bewijs helpt om te begrijpen wat er is gebeurd en kan nodig zijn voor bank, klant, verzekering, boekhouder of aangifte.

2. Stop risicovolle betalingen

Is er een factuur, betaalverzoek of IBAN-wijziging betrokken? Bel direct met de klant, leverancier, bank of boekhouder via een bekend telefoonnummer. Gebruik niet het nummer uit de verdachte mail.

Bij financiële schade is snelheid belangrijker dan een perfect technisch rapport.

3. Controleer wie geraakt kan zijn

Maak een korte lijst:

• welke mailbox is verdacht?
• welke klanten hebben een verdachte mail gekregen?
• zijn er facturen verstuurd?
• is Microsoft 365, Teams of OneDrive betrokken?
• zijn persoonsgegevens of klantgegevens mogelijk ingezien?
• zijn er andere accounts via deze mailbox te resetten?

Deze scope bepaalt wat je daarna moet doen.

4. Verander niet alleen blind het wachtwoord

Een wachtwoord wijzigen is belangrijk, maar het is niet genoeg als er nog doorstuurregels, gekoppelde apps, actieve sessies, MFA-methodes of gemachtigden bestaan.

De veilige volgorde is meestal:

1. bewijs bewaren
2. risico op betalingen stoppen
3. account veiligstellen
4. sessies uitloggen
5. doorstuurregels en inboxregels controleren
6. herstelgegevens en MFA controleren
7. klanten of contacten waarschuwen als dat nodig is
8. oorzaak en impact beoordelen

5. Waarschuw intern en extern zorgvuldig

Stuur niet te snel een paniekmail naar iedereen. Maar waarschuw wel gericht als er verdachte mails of facturen zijn verstuurd.

Een praktische waarschuwing kan zijn:

“Let op: er is mogelijk misbruik gemaakt van onze mailbox. Open geen recente linkjes of gewijzigde facturen zonder telefonisch te controleren. Wij onderzoeken dit en nemen contact op als uw betaling of gegevens geraakt kunnen zijn.”

Wanneer is dit een datalek?

Een verdachte zakelijke mailbox moet je serieus behandelen als mogelijk datalek. Zeker als een onbevoegde toegang kan hebben gehad tot e-mails met persoonsgegevens, zoals klantnamen, adressen, facturen, contracten, personeelsinformatie, medische gegevens of kopieën van identiteitsbewijzen.

De Autoriteit Persoonsgegevens heeft aparte uitleg over datalekken door phishing. Het NCSC geeft aan dat een geconstateerd datalek binnen 72 uur bij de Autoriteit Persoonsgegevens gemeld moet worden. Of je in jouw situatie moet melden, hangt af van de inhoud van de mailbox, de kans dat gegevens zijn ingezien of gewijzigd en het risico voor betrokken personen.

InstantIT kan technisch en praktisch helpen ordenen wat geraakt kan zijn: welke mailbox, welke regels, welke aanmeldingen, welke bestanden en welke contacten. We geven geen juridisch oordeel over meldplicht. Bij twijfel is het verstandig om je privacycontactpersoon, juridisch adviseur of de richtlijnen van de Autoriteit Persoonsgegevens te betrekken.

Microsoft 365: waar moet je extra op letten?

Bij een Microsoft 365-omgeving kijk je breder dan alleen Outlook. Controleer onder andere:

• recente aanmeldingen
• mislukte en geslaagde loginpogingen
• MFA-methodes
• wachtwoordwijzigingen
• inboxregels
• automatische doorstuurregels
• gedeelde mailboxen
• gemachtigden
• app-machtigingen
• Teams- en OneDrive-activiteit
• uitgaande spam of geblokkeerde verzending

Gebruik je Microsoft 365 zakelijk en weet je niet waar je dit moet vinden? Dan is het verstandig om hulp te vragen voordat je instellingen verandert die mail, rechten of toegang voor andere gebruikers beïnvloeden.

Hoe voorkom je herhaling?

Na herstel wil je niet alleen “het probleem oplossen”, maar de basis beter maken. Denk aan:

• unieke wachtwoorden per account
• MFA op alle belangrijke accounts
• geen gedeelde adminaccounts
• aparte beheeraccounts voor Microsoft 365
• veilige herstelmail en hersteltelefoon
• controle op SPF, DKIM en DMARC
• duidelijke betaalafspraken met klanten en leveranciers
• vaste controle bij IBAN-wijzigingen
• back-up van belangrijke documenten
• periodieke check van inboxregels en doorstuurregels

Voor zzp’ers en kleine kantoren hoeft dit niet ingewikkeld te zijn. Het gaat vooral om rust, overzicht en duidelijke basismaatregelen.

Wat kan InstantIT doen?

InstantIT helpt particulieren, zzp’ers en kleine bedrijven in Den Haag, Delft, Zoetermeer, Haaglanden en op afstand bij digitale incidenten en Microsoft-problemen.

Bij een verdachte zakelijke mailbox kunnen we helpen met:

• triage: wat is er waarschijnlijk gebeurd?
• mailboxregels en doorstuurregels controleren
• Outlook, webmail en Microsoft 365 nalopen
• verdachte sessies en apparaten beoordelen
• MFA en herstelgegevens controleren
• klanten of contacten veilig waarschuwen
• e-mail, OneDrive en Teams-risico’s ordenen
• praktische vervolgstappen maken voor zzp of klein MKB

Gaat het om grotere schade, juridische meldplicht, verzekering, forensisch onderzoek of ransomware? Dan zeggen we eerlijk wanneer specialistische of juridische hulp nodig is.

Hulp nodig?

Is je zakelijke mailbox verdacht, zijn er rare facturen verstuurd of vertrouw je je Microsoft 365-omgeving niet meer? Kijk dan bij hulp bij zakelijke e-mailfraude en gehackte mailbox.

Gebruik je vooral Outlook, Teams, OneDrive of Microsoft 365 en kom je niet meer goed in je account? Kijk dan ook bij Microsoft 365 hulp voor zzp’ers of hulp op afstand.

Voor particuliere e-mailproblemen of een gehackt mailaccount kun je terecht bij hulp bij gehackte e-mail.

Bronnen en verdere uitleg

• NCSC: hoe herstel je een gehackt account?
• NCSC: melden van een datalek
• Autoriteit Persoonsgegevens: datalek door phishing
• Microsoft Learn: respond to a compromised cloud email account
• Microsoft Security: business email compromise
• Fraudehelpdesk: ik ben gehackt

Veelgestelde vragen

Is een zakelijke mailbox gehackt als klanten rare mails krijgen?

Niet altijd. Het kan ook spoofing zijn, waarbij iemand doet alsof een mail van jouw domein komt zonder dat hij echt in je mailbox zit. Maar als er mails in je verzonden items staan, inboxregels zijn aangepast of klanten facturen met gewijzigde gegevens krijgen, moet je uitgaan van een serieus incident.

Moet ik direct mijn wachtwoord wijzigen?

Ja, maar niet als enige stap. Bewaar eerst bewijs en controleer daarna ook sessies, MFA, herstelgegevens, doorstuurregels, inboxregels en gekoppelde apps. Alleen een wachtwoord wijzigen is vaak onvoldoende.

Wat als een klant al naar een verkeerd rekeningnummer heeft betaald?

Neem direct contact op met de klant en de bank via bekende contactgegevens. Bewaar alle mails en facturen. Doe waar nodig melding of aangifte en betrek je boekhouder, verzekeraar of juridisch adviseur.

Kan InstantIT zien of iemand echt in mijn Microsoft 365 zat?

In veel gevallen kunnen we helpen kijken naar aanmeldingen, mailboxregels, Outlook/webmail-instellingen en verdachte patronen. Soms is specialistisch forensisch onderzoek nodig, vooral bij grotere schade of meerdere accounts.

Moet ik een gehackte zakelijke mailbox melden als datalek?

Soms wel. Als er persoonsgegevens in de mailbox stonden en een onbevoegde daar toegang toe had of kan hebben gehad, behandel dit dan als mogelijk datalek. Of melding bij de Autoriteit Persoonsgegevens nodig is, hangt af van het risico voor betrokken personen. Leg in elk geval vast wat er is gebeurd en betrek bij twijfel je privacycontactpersoon, juridisch adviseur of de AP-richtlijnen.

Is dit hetzelfde als phishing?

Phishing is vaak de manier waarop toegang wordt verkregen, bijvoorbeeld via een valse loginpagina. Een gehackte mailbox is het mogelijke gevolg: iemand heeft dan toegang tot je mail of zakelijke omgeving.