• Home
  • /
  • Nieuws
  • /
  • AI-phishing via ChatGPT en Microsoft-tools doet accountovernames stijgen

Door Dave

juli 10, 2026

Steeds meer datalekken ontstaan door accountovernames bij bedrijven in Europa en Nederland. Aanvallers gebruiken generatieve AI om zeer geloofwaardige phishingberichten te maken in foutloos Nederlands. Daardoor geven meer mensen en systemen onbewust hun inloggegevens weg. Organisaties zien dit nu vaker gebeuren, omdat ƩƩn gehackt account vaak toegang geeft tot veel diensten in de cloud.

AI versterkt phishing

Criminelen zetten taalmodellen zoals ChatGPT van OpenAI en Gemini van Google in om e-mails en chatberichten te schrijven. Zo’n model kan in seconden een perfecte, persoonlijke tekst maken. Het bericht lijkt te komen van een manager of leverancier. De drempel voor een aanval wordt zo veel lager.

Ook stemklonen maken valse telefoontjes geloofwaardiger. Met een korte geluidsopname kan een systeem de stem van een collega nabootsen. Dat heet vishing, een mix van voice en phishing. Die techniek zet extra druk om snel te handelen.

Open-source modellen zoals Llama 3 van Meta zijn vrij beschikbaar. Criminelen kunnen die lokaal draaien en misbruiken. In het verleden verschenen zelfs ondergrondse varianten zoals ā€œWormGPTā€ die op fraude zijn gericht. Filters die misbruik moeten blokkeren, worden zo omzeild.

Europese regels vragen om duidelijkheid bij synthetische media. De AI-verordening verplicht aanbieders om deepfakes als kunstmatig te labelen. Criminelen houden zich daar niet aan. Dat maakt weerbaarheid in organisaties des te belangrijker.

Accountovernames vergroten schade

Bij een accountovername logt een aanvaller in met gestolen of geraden gegevens. Dat kan via een wachtwoord, een onderschepte sessie of een gespoofte multifactor-code. Daarna gaat de aanvaller vaak verder binnen het netwerk. E-mail, chat en opslag in Microsoft 365 of Google Workspace zijn dan snel bereikbaar.

Accountovername: toegang krijgen tot een bestaand account van een gebruiker of systeem, en zo doen alsof je die gebruiker bent.

Single sign-on maakt werken makkelijker, maar vergroot ook het risico. EƩn gecompromitteerd account kan een domino-effect hebben. Aanvallers misbruiken gedeelde inboxen, API-sleutels en cloudrechten. Dat leidt tot datadiefstal of afpersing met ransomware.

Aanvallen verschuiven bovendien naar MFA-moeheid en sessiekaping. Bij MFA-moeheid bestoken criminelen een gebruiker met inlogverzoeken tot die klikt. Bij sessiekaping kapen ze een geldige browser-sessie, zonder wachtwoord. Beide methoden omzeilen klassieke wachtwoordcontroles.

De impact is vaak groter dan gedacht. Back-ups, HR-dossiers en klantdata zitten geregeld achter hetzelfde account. Hierdoor worden ook toeleveranciers geraakt. Zo verspreidt een incident zich door de keten.

Meer meldingen bij AP

Onder de AVG moeten organisaties datalekken binnen 72 uur melden bij de Autoriteit Persoonsgegevens. In Nederland komen er elk jaar veel meldingen binnen. Phishing en hacking horen daar op het moment van schrijven bij de belangrijkste oorzaken. Een accountovername telt al als lek als onbevoegden toegang hadden.

Voor betrokkenen kan dit leiden tot identiteitsfraude. Denk aan misbruik van BSN, adres of inlog op overheidsdiensten. Instanties moeten daarom zo min mogelijk gegevens opslaan en die versleutelen. Dat heet dataminimalisatie en versleuteling, en is verplicht onder de AVG.

Publieke organisaties en zorginstellingen hebben extra zorgplichten. Zij verwerken vaak gevoelige data. Een zwak account kan daar grote maatschappelijke schade veroorzaken. Snelle melding en transparante communicatie zijn dan cruciaal.

De toezichthouder kan handhaven als basismaatregelen ontbreken. Denk aan het ontbreken van multifactor-authenticatie of logging. Ook gebrekkige controle van leveranciers telt mee. Boetes en herstelmaatregelen zijn dan mogelijk.

Passkeys en sterke login

Wachtwoorden zijn kwetsbaar voor phishing. Passkeys op basis van FIDO2 en WebAuthn vervangen het wachtwoord door een cryptografische sleutel. Die sleutel werkt alleen op het juiste domein. Phishing-berichten leveren dan geen toegang meer op.

Grote aanbieders ondersteunen passkeys al. Microsoft Entra ID, Google Workspace en Apple bieden beheer op bedrijfsniveau. Europese banken en overheden verkennen integratie met de Europese digitale identiteit (EUDI-wallet) onder eIDAS 2.0. Dat kan inloggen bij publieke diensten veiliger en eenvoudiger maken.

Beveiliging met AI groeit ook aan de verdedigende kant. Systemen zoals Microsoft Defender en Google Threat Intelligence gebruiken modellen om verdachte patronen te herkennen. Dat kan bijvoorbeeld afwijkend inloggedrag opsporen. Let wel op privacy en uitlegbaarheid bij automatische beslissingen.

Menselijke factor blijft belangrijk. Regelmatige trainingen en duidelijke meldknoppen in e-mail helpen. Simulaties met realistische, maar veilige phishing verhogen alertheid. Combineer dit met strikte rechten, logging en snelle intaketeams.

NIS2 verhoogt eisen

De Europese NIS2-richtlijn scherpt beveiligingseisen aan voor essentiƫle en belangrijke bedrijven. Nederland werkt aan nieuwe wetgeving om NIS2 te implementeren op het moment van schrijven. Identity- en toegangsbeheer, inclusief MFA en passkeys, wordt daarin expliciet genoemd. Bestuurders worden persoonlijk verantwoordelijk voor risicobeheer.

Leveranciersrisico’s vallen ook onder NIS2. Een gehackt account bij een IT-dienstverlener kan meerdere klanten raken. Contracten moeten daarom eisen stellen aan inloggen, logging en incidentrespons. Regelmatige audits toetsen of die afspraken werken.

Voorbereiding vraagt om concrete stappen. Maak een actueel overzicht van alle accounts, rechten en API-sleutels. Schakel waar mogelijk wachtwoorden uit en stap over op passkeys. Zet detectie in op sessiekaping en MFA-misbruik.

Rapportage en herstel horen daarbij. Test procedures voor het intrekken van tokens en het resetten van sleutels. Oefen de 72-uurs meldplicht aan de Autoriteit Persoonsgegevens. Zo verklein je de impact als het toch misgaat.

Over de schrijver 

Dave

Hoi, ik ben Dave – schrijver, onderzoeker en nieuwsgierige geest achter AIInsiders.nl. Ik hou me bezig met de manier waarop technologie ons leven verandert, en vooral: hoe we dat een beetje kunnen bijbenen. Van slimme tools tot digitale trends, ik duik graag in de wereld achter de schermen.

Mijn stijl? Lekker helder, soms kritisch, altijd eerlijk. Geen onnodig jargon of overdreven hype, maar praktische inzichten waar je echt iets aan hebt. AI is niet eng of magisch – het is interessant, en ik help je graag om dat te zien.

Meer lezen

10/07/2026 09:34

Een middelbare scholier uit Noord-Brabant werd deze week van school gestuurd nadat hij AI-filmpjes had gemaakt. Een voorzieningenrechter greep in en zette de verwijderingsbeslissing voorlopig lees verder

Rechter corrigeert school: scholier geschorst om AI-deepfakes op TikTok

10/07/2026 07:31

Steeds meer Nederlanders zien hun gezicht op AI-plaatjes verschijnen die ze nooit hebben gemaakt. Met generatieve systemen als Midjourney, DALLĀ·E en Stable Diffusion kunnen wildvreemden lees verder

Voorkom dat anderen deepfakes van jouw gezicht maken (OpenAI, Lensa)

09/07/2026 21:52

Meta treedt deze week strenger op tegen misbruik van de Ray-Ban Meta smart glasses. Het bedrijf grijpt in wanneer gebruikers de AI-functies en camera’s inzetten lees verder

Meta grijpt in: Ray‑Ban AI‑brillen krijgen beperkingen bij misbruik

09/07/2026 19:49

Cybercriminelen maken op het moment van schrijven massaal gebruik van kunstmatige intelligentie om sneller en geloofwaardiger te hacken. In Nederland en de rest van Europa lees verder

ChatGPT en AI-tools maken hacken kinderspel: steeds meer slachtoffers
>