CEO onderwerp-swap phishing richt zich vooral op nieuwe medewerkers omdat onboarding een voorspelbaar moment van verhoogde cognitieve belasting en lage verificatiegraad creëert.
CEO onderwerp-swap phishing is een vorm van Business Email Compromise (BEC) waarbij aanvallers uitsluitend de naam van een CEO in de onderwerpregel plaatsen om nieuwe medewerkers te misleiden. Deze aanvallen richten zich vooral op medewerkers binnen de eerste 60 dagen van onboarding, omdat zij gevoeliger zijn voor autoriteitsmisbruik, urgentie en onbekende interne processen.
Wat is CEO onderwerp-swap phishing?
CEO onderwerp-swap phishing is een phishingtechniek waarbij de identiteit van een directielid niet via het afzendadres, maar via de onderwerpregel wordt gesimuleerd.
Binnen SOC-observaties zien wij dat deze aanvallen vaak:
- afkomstig zijn van externe freemailproviders;
- geen spoofed bedrijfsdomein gebruiken;
- geen directe payload bevatten in de eerste fase;
- proberen over te schakelen naar WhatsApp of andere communicatiekanalen.
Voorbeeld van een onderwerpregel:
| Onderwerpregel | Werkelijke afzender |
|---|---|
| “John van Dijk” | randomcompany.hr@gmail.com |
Omdat nieuwe medewerkers namen van directieleden herkennen uit onboardingmateriaal, ontstaat automatisch een gevoel van urgentie en legitimiteit.
Waarom zijn nieuwe medewerkers kwetsbaar voor CEO phishing?
Nieuwe medewerkers vormen een verhoogd risico binnen phishingcampagnes omdat zij:
- interne communicatiestijlen nog niet herkennen;
- onboardingdocumentatie verwerken onder hoge cognitieve belasting;
- hiërarchische verzoeken minder snel challengen;
- veel legitieme HR- en IT-mails ontvangen.
Binnen SOC-analyses zien wij dat phishingincidenten relatief vaker voorkomen in de eerste onboardingfase van accounts.
Hoe verloopt een CEO onderwerp-swap phishingaanval?
De aanval verloopt meestal in vier fasen:
| Fase | Activiteit aanvaller |
|---|---|
| OSINT | LinkedIn en bedrijfswebsite verzamelen |
| Initiële mail | CEO-naam in onderwerpregel |
| Validatie | Reactie of engagement meten |
| Exploitatie | Credential harvesting, MFA fatigue of fraude |
De eerste e-mail bevat vaak bewust geen malware of phishinglink. Dit verlaagt de detectiekans binnen traditionele email security controls.
Hoe detecteert een SOC deze phishingcampagnes?
Traditionele IOC- en signature-based detectie mist deze aanvallen regelmatig.
SOC-teams moeten daarom kijken naar contextuele indicatoren zoals:
- directienamen in onderwerpregels;
- externe freemaildomeinen;
- urgente of hiërarchische taal;
- ontbrekende communicatiehistorie;
- afwijkend onboardinggedrag.
Deze combinatie van signalen vormt vaak een sterkere indicator dan één los IOC.
Welke maatregelen beperken het risico?
Effectieve mitigatie combineert awareness, identity security en monitoring.
Aanbevolen maatregelen:
| Maatregel | Doel |
|---|---|
| Security awareness tijdens onboarding | Herkennen van social engineering |
| Monitoring eerste 60 dagen | Verhoogde visibility |
| Entity-based detection | Detectie van directienamen |
| Verificatieprocedures | Controle op externe communicatie |
Organisaties die onboarding niet behandelen als expliciet risicovenster, creëren een structureel aanvalsvlak binnen hun identity lifecycle.
FAQ
Omdat de aanval inspeelt op autoriteit, urgentie en onboardingstress, in plaats van op technische exploits.
Spoofing verhoogt de kans op detectie door secure email gateways. Freemailaccounts vallen vaak minder op in dit type aanval.
De eerste fase dient vooral om vertrouwen en interactie op te bouwen voordat credential harvesting start.
Nieuwe medewerkers, tijdelijke krachten en medewerkers zonder security awareness-training.
Door contextuele correlatie van onderwerpregels, onboardingstatus, afzenderreputatie en gebruikersgedrag.
Geschreven door het Pinewood SOC-team
Specialisatie: Managed Detection & Response, phishingdetectie en identity security.
Laatst bijgewerkt: mei 2026
