Spookfactuur herkennen: zo bescherm je je bedrijf tegen factuurfraude

Spookfacturen zijn valse of misleidende facturen waarmee fraudeurs proberen je bedrijf te laten betalen voor diensten die nooit zijn geleverd, of voor een 'aanbieding' die je nooit hebt geaccepteerd. In 2025 ontving de Fraudehelpdesk 1.146 meldingen van acquisitiefraude (de officiële term voor spookfactuur-fraude), goed voor ruim 113.000 euro aan geregistreerde schade. Daarnaast werden 327 gevallen van CEO-fraude gemeld, met een totale schade van 121.000 euro. De werkelijke schade ligt vermoedelijk vele malen hoger, omdat lang niet elke ondernemer aangifte doet. In dit artikel lees je hoe je een spookfactuur herkent, welke nieuwe fraudetactieken in 2025 en 2026 opkomen en wat je kunt doen om je bedrijf te beschermen.

Er zijn 3 soorten spookfacturen

• Een aanbieding in de vorm van een factuur. Uit de kleine lettertjes blijkt dat het gaat om een aanbieding. In dit geval hoef je niet te betalen en het nemen van maatregelen is ook niet nodig.
• Een echte factuur zonder tegenprestatie. Je ontvangt de factuur zonder dat je opdracht hebt gegeven tot levering van goederen of een dienst. Het kan zijn dat er sprake is van een administratieve vergissing of fraude. 
• Een vervalste factuur van een bestaande leverancier. Cybercriminelen onderscheppen een legitieme factuur (digitaal of fysiek) en wijzigen alleen het rekeningnummer naar dat van de fraudeur. De factuur ziet er volledig echt uit, want de levering is daadwerkelijk verricht. Volgens onderzoek van Veilig Bankieren is dit binnen het mkb een van de meest voorkomende vormen van factuurfraude.

In bovenstaande gevallen is het van belang om te vragen aan de afzender waarom je de factuur hebt ontvangen. Zonder een bewijs van jouw opdracht kan er nooit van je verplicht worden om de betaling te voldoen.

Hoe kan je een spookfactuur herkennen?

Spookfacturen zijn vaak lastig te onderscheiden van echte facturen. Let daarom goed op de volgende punten bij het beoordelen van een factuur: 

• Wie is de afzender van de factuur? Ga na of je de afgelopen tijd één of meerdere bestellingen hebt geplaatst bij de afzender. Zoek informatie over de afzender op het internet en bij twijfel, neem contact op met de afzender.
• Check het order- en/of factuurnummer op de factuur. Controleer in jouw administratie of je een inkooporder of orderbevestiging vindt die overeenkomt met de factuur.
• Controleer het e-mailadres waarmee de factuur is verzonden en of deze de juiste domeinnaam bevat. Fraudeurs gebruiken vaak domeinnamen die erg lijken op het origineel. De verschillen kunnen nihil zijn, let daarom extra goed op. 
• Aan wie is de factuur gericht? Bij een spookfactuur wordt vaak een algemene aanhef gebruikt en niet aan een persoon gericht.
• Bij spookfacturen gaat het vaak om relatief kleine bedragen. De fraudeur gaat er vanuit dat je facturen met kleine bedragen niet uitvoerig controleert.
• Controleer of het bankrekeningnummer op de factuur voorkomt in jouw administratie. Wees met name alert op buitenlandse bankrekeningen. Fraudeurs maken hier veelvuldig gebruik van.
• Spookfacturen kan je vaak herkennen aan de kleine lettertjes. Er staat bijvoorbeeld: 'Dit is een aanbieding, geen factuur' of het woord ‘offerte’ wordt gebruikt. Bijvoorbeeld: 'Indien u met deze offerte akkoord gaat...'.

Actuele fraudetactieken: zo werken spookfacturen in 2025 en 2026

Fraudeurs vernieuwen hun werkwijze voortdurend. Wat tien jaar geleden nog een opvallend slordige offerte was met een acceptgiro, is vandaag een vrijwel perfect nagebootste factuur die door geautomatiseerde systemen heen glipt. Onderstaande tactieken zijn de afgelopen twee jaar het meest gemeld bij de Fraudehelpdesk en het Digital Trust Center.

Onderschepte e-mails en gewijzigde rekeningnummers (Business Email Compromise)

Bij Business Email Compromise (BEC) breken cybercriminelen in op een zakelijk e-mailaccount, vaak van een leverancier. Ze wachten tot er een echte factuur klaarstaat, wijzigen alleen het IBAN-nummer en sturen de factuur door naar de klant. De factuur klopt verder volledig: bedrag, prestatie, opmaak en zelfs het e-mailadres zijn authentiek. Het Digital Trust Center beschrijft een voorbeeld waarbij cybercriminelen de tweefactorauthenticatie van een softwarebedrijf wisten te omzeilen en vervolgens valse facturen met een ander rekeningnummer naar de klanten verstuurden. Verifieer een gewijzigd IBAN daarom altijd telefonisch via een nummer dat je zelf opzoekt, niet via het nummer op de factuur.

AI-gegenereerde facturen, deepfake-stemmen en CEO-fraude

Generatieve AI maakt het voor fraudeurs eenvoudig om in seconden een professioneel ogende factuur op te stellen, compleet met logo, btw-nummer en bedrijfsstijl. Tegelijk worden deepfake-audio en video ingezet om medewerkers van de financiële administratie onder druk te zetten. Bij deze variant van CEO-fraude lijkt het alsof de directeur of CFO belt met de opdracht om met spoed een factuur te betalen, terwijl het feitelijk een AI-gegenereerde stemkloon is. Volgens onderzoek dat het ministerie van Economische Zaken in 2025 publiceerde, namen pogingen tot AI-gedreven identiteitsfraude in de financiële sector met 80 procent toe en steeg het aandeel deepfakes in fraudezaken de afgelopen drie jaar met meer dan 2.000 procent. Spreek daarom binnen je bedrijf een vast verificatieprotocol af voor betalingen boven een bepaald bedrag, bijvoorbeeld een vier-ogen-principe of een terugbelverificatie via een vooraf vastgelegd nummer.

QR-code spookfacturen

Een relatief nieuwe variant is de spookfactuur met QR-code. De factuur ziet er professioneel uit en de QR-code lijkt een snelle betaaloptie. Wie de code scant, betaalt direct naar de rekening van de fraudeur of belandt op een phishingpagina. Scan een QR-code op een factuur nooit zonder de begunstigde, het IBAN en het bedrag eerst handmatig te controleren in je eigen administratie.

Acquisitiefraude via telefoon en de 'ja-truc'

Een oplichter belt met een vage aanbieding voor bijvoorbeeld een vermelding op een bedrijvenwebsite of in een online gids. In het gesprek wordt aangestuurd op een korte instemming, waarna later een factuur volgt die als 'bevestiging van de overeenkomst' wordt gepresenteerd. Soms wordt het audiofragment gemonteerd om een akkoord te suggereren dat er nooit was. Sinds de Wet Acquisitiefraude (2016) ligt de bewijslast bij de afzender: het bedrijf dat de factuur stuurt moet aantonen dat de ondernemer vooraf duidelijk en volledig is geïnformeerd over de prijs en voorwaarden. Geef in zo'n gesprek nooit zomaar 'ja' of 'nee' als antwoord en verbreek bij twijfel direct de verbinding.

Misbruik van bekende namen en handelsregistergegevens

Fraudeurs halen adresgegevens uit het Handelsregister van de KVK en versturen massaal facturen onder namen die lijken op die van bekende organisaties zoals de Kamer van Koophandel, het CJIB of een hostingbedrijf. In oktober 2025 waarschuwde SIDN nog actief voor spookfacturen die werden verzonden onder de namen 'NL Domein Host' en 'Domeinhost Nederland', gericht op eigenaren van .nl-domeinen. Controleer bij elke onbekende factuur of de organisatie echt bestaat via het KVK-handelsregister en of de afzendgegevens kloppen.

Spookfacturen tijdens vakantieperiodes

Veel spookfacturen worden bewust verstuurd tijdens zomer- of kerstvakanties. Op die momenten is de vaste medewerker afwezig, draait een vervanger de financiële administratie en is de drempel om door te vragen lager. Spreek voor vakantieperiodes met je team een duidelijk fiat-protocol af voor inkomende facturen, met expliciete instructies voor twijfelgevallen.

Echte voorbeelden van factuurfraude in Nederland

Onderstaande zaken laten zien dat factuurfraude geen abstract risico is. Het treft mkb'ers, multinationals en zelfs overheidsorganisaties.

• Bijna 500.000 euro buitgemaakt bij Nederlands industrieel bedrijf (2025). Op 28 april 2025 veroordeelde de rechtbank Noord-Nederland een man tot 18 maanden cel voor zijn rol in een geraffineerde factuurfraude. Een Nederlands bedrijf dat industriële waterzuiveringsinstallaties leverde aan een Egyptische afnemer, was begin 2020 een aanbetaling van 488.750 euro overeengekomen. Cybercriminelen onderschepten de mailwisseling, vervalsten de betaaldocumenten met een ander rekeningnummer en haalden zo bijna een half miljoen euro binnen. De fraude verliep in twee fasen, waarbij ook een tussenpersoon werd ingezet om het geld via een advocatenkantoor 'vrij te krijgen'. De zaak laat zien hoe kwetsbaar internationale transacties zijn voor mailonderschepping: een wijziging in een IBAN-nummer is voor een fraudeur soms voldoende.
• Gemeente Alkmaar verliest twee ton aan CEO-fraude (2023). Gemeente Alkmaar verliest twee ton aan CEO-fraude (2023)
• Softwarebedrijf met 2FA toch slachtoffer (DTC-casus). Het Digital Trust Center beschrijft een (geanonimiseerde) casus van een Nederlands softwarebedrijf dat alle gangbare beveiligingsmaatregelen had toegepast, inclusief tweefactorauthenticatie. Toch wisten cybercriminelen een zakelijk e-mailaccount over te nemen en stuurden zij vanuit dat account valse betaalverzoeken naar de klanten van het bedrijf, met een gewijzigd IBAN-nummer. Verschillende klanten betaalden te goeder trouw naar het verkeerde rekeningnummer. De casus onderstreept dat technische beveiliging belangrijk is, maar dat een procesmatige verificatie van betaalgegevens minstens zo essentieel is.

Loop geen risico en onderneem met zekerheid

Een kredietverzekering beschermt jouw onderneming tegen schade die je oploopt door onbetaalde facturen. Jouw klant kan bijvoorbeeld failliet gaan, of zich financieel amper boven water houden. Onbetaalde facturen komen niet alleen voor bij onbekende of nieuwe klanten, bijna 50 procent van alle non-betalingen ontstaan bij afnemers waarmee je een stabiele relatie hebt opgebouwd. Met een kredietverzekering krijg je alsnog je geld als jouw klant niet in staat is om te betalen. Zo wordt ondernemen ineens een heel stuk aantrekkelijker en kan jij je focussen op dat waar je als ondernemer het beste in bent.