De cryptosector start 2025 met oplopende digitale criminaliteit. Wereldwijd namen AI-gestuurde phishing en ketenaanvallen toe, met rond 3,5 miljard dollar aan verliezen in 2024. Aanvallers gebruiken nu overtuigende deepfakes en geautomatiseerde scripts om beleggers en bedrijven te misleiden. Dit zet druk op Europese regels en praktijk: Europese AI-verordening gevolgen overheid en bedrijven komen dichterbij.
AI-phishing wordt overtuigender
Criminelen zetten generatieve modellen in om e-mails, chats en voice-berichten geloofwaardig te maken. Zulke systemen leveren foutloze taal, passende context en juiste toon. Daardoor herkennen medewerkers en klanten nepverzoeken minder snel. Deepfake-stemmen maken telefonische spoedverzoeken extra risicovol.
Op fora circuleren “phishing-as-a-service”-pakketten en modellen als WormGPT en FraudGPT. Die zijn bedoeld om beveiligingsregels te omzeilen en gerichte spearphishing te maken. Grote aanbieders zoals OpenAI en Google beperken misbruik van hun modellen, maar open varianten blijven beschikbaar. Dit verlaagt de drempel voor minder ervaren aanvallers.
Bedrijven bestrijden dit met phishing-resistente inlogmethoden. Gebruik van FIDO2-sleutels en fysieke tokens helpt tegen sessiekaping. Daarnaast werken beurzen en wallets met risicoscores voor transacties en adressen. Dat verkleint de kans dat één klik direct geld kost.
Rond 3,5 miljard dollar aan crypto-assets ging in 2024 verloren door hacks en oplichting.
Leveringsketens blijven kwetsbaar
Een ketenaanval misbruikt een leverancier of softwarepakket om veel slachtoffers tegelijk te raken. In web3 gebeurt dit via SDK’s, npm-pakketten of content delivery networks. Eén verdachte update kan kwaadaardige code in talloze apps plaatsen. Gebruikers ondertekenen dan onbewust toestemmingstransacties.
Eerdere incidenten met browserbibliotheken en wallet-connectoren tonen dit risico. De polyfill.io-zaak liet zien hoe een populaire broncode-dienst tot misbruik kan leiden. Ook web3-plugins en wallet-koppelingen vormen een ingang. Vooral dapp-gebruikers lopen risico bij onduidelijke prompts en “blind signing”.
Mitigatie begint bij software-hygiëne. Pin afhankelijkheden, controleer handtekeningen en publiceer een SBOM, een lijst met gebruikte bouwstenen. Voer code-review en monitoring in op de front-end. En gebruik allowlists voor contracten en domeinen binnen kritieke flows.
DeFi-bruggen trekken aanvallers
Cross-chain bruggen en DeFi-protocollen blijven aantrekkelijk voor dieven. Ze beheren grote liquiditeit en complexe slimme contracten. Fouten in logica of oracles geven aanvallers een kans. Ook sleutellekken bij multisig of MPC-setups leiden tot snelle leegloop.
Audits helpen, maar geven geen garantie. Nieuwe versies, integraties en marktomstandigheden brengen telkens andere risico’s. Snelle feature-releases vergroten de attack surface. Een formeel updateproces met pauzeknoppen en limieten is daarom nodig.
Transparantie in on-chain beveiliging groeit. Bug bounties via platformen zoals Immunefi zetten onderzoekers aan het werk. Real-time monitoring met Chainalysis of vergelijkbare analysetools versnelt opsporing. Zo kan bevriezing of blokkering soms verdere schade voorkomen.
Europese regels dwingen maatregelen
MiCA legt vanaf 2024-2025 strengere eisen op aan uitgevers en aanbieders van cryptodiensten. Incidentrapportage, governance en bescherming van klanten worden aangescherpt. De DORA-verordening verplicht financiële partijen tot robuuste operationele weerbaarheid. Dat omvat testplannen, responsprocedures en controle op derde partijen.
NIS2 brengt ketenrisico’s expliciet onder de aandacht. Organisaties in vitale sectoren moeten leveranciers screenen en contractueel borgen. Voor sommige crypto-aanbieders kan dit gelden via nationale implementatie. Niet voldoen kan leiden tot boetes en toezichtmaatregelen.
De AI-verordening raakt detectiesystemen die fraude opsporen. Zulke algoritmen moeten uitlegbaar en veilig zijn, met risicobeheer. De AVG blijft gelden bij profielvorming en biometrie, zoals stemherkenning tegen deepfakes. Overheidsorganisaties moeten dit nu opnemen in hun inkoop en DPIA’s.
Bedrijven moeten basis op orde
Begin met sterke identiteit en toegang. Gebruik phishing-resistente MFA, rolgescheiden beheer en strikte key-opslag. Beperk automatische uitbetalingen met drempels en wachttijden. Laat grote opnames handmatig of via meerdere ondertekenaars goedkeuren.
Bescherm klanten tegen misleiding. Toon duidelijke waarschuwingen bij risicovolle handelingen in apps en wallets. Activeer adres-allowlists en limieten per dag. Voeg een “panic button” toe om sessies en sleutels snel te blokkeren.
Veranker dit in beleid en wet. Sluit aan bij NCSC-richtlijnen en het Nationaal Detectie Netwerk. Meld incidenten tijdig aan toezichthouders zoals DNB en, waar relevant, de Autoriteit Persoonsgegevens. Investeer in training, want mensen blijven de eerste verdedigingslinie.
