Cybercriminelen maken op het moment van schrijven massaal gebruik van kunstmatige intelligentie om sneller en geloofwaardiger te hacken. In Nederland en de rest van Europa neemt het aantal slachtoffers toe. De afgelopen maanden zijn fraudeberichten persoonlijker en moeilijker te herkennen geworden. Dit vergroot de druk op overheid en bedrijven; de Europese AI-verordening gevolgen overheid en organisaties komen dichterbij.
AI maakt oplichting persoonlijker
Oplichters gebruiken generatieve systemen om perfecte Nederlandse teksten te schrijven. E-mails, appjes en chatberichten staan vol juiste namen en details. Zo lijkt het bericht echt afkomstig van een collega, leverancier of familielid. De klassieke āNigeriaanse prinsā maakt plaats voor strak geschreven en geloofwaardige verhalen.
Modellen als OpenAIās GPT-4o, Google Gemini en Metaās Llama 3 kunnen toon, stijl en context nabootsen. Dat maakt misleiding eenvoudig en goedkoop. Criminelen geven het model informatie en laten het passende zinnen, facturen of contracten maken. Het resultaat oogt professioneel en foutloos.
Dit heet vaak spearphishing: gerichte phishing met persoonlijke gegevens. Het bericht verwijst naar een echt project of recente vergadering. Daardoor voelt het vertrouwd en urgent. Een kleine fout is dan al genoeg voor schade.
De data voor deze berichten komt uit eerdere datalekken en openbare profielen. Denk aan LinkedIn, bedrijfswebsites en sociale media. Die bronnen leveren functie, collegaās, e-mailadres en schrijfstijl. De AVG eist dat bedrijven persoonsgegevens beschermen, maar criminelen trekken zich daar niets van aan.
Stem- en beeldklonen goedkoop
Naast tekst zetten oplichters ook synthetische stemmen in. Met diensten als ElevenLabs, OpenVoice of open-source TTS kan een stem in minuten worden gekloond. Een kort audiofragment van een voicemail of filmpje is vaak genoeg. Daarna klinkt een telefoontje als de āechteā directeur of een familielid.
Deze methode heet vishing: phishing via de telefoon met een nagebootste stem. De beller vraagt om een spoedbetaling of gevoelige code. Door de druk en het bekende timbre trappen mensen sneller in de val. Medewerkers in financiƫle rollen zijn extra aantrekkelijk doelwit.
Beeldklonen en deepfakes spelen ook mee. Met tools als Stable Diffusion of videofilters kunnen criminelen overtuigende afbeeldingen of videoās maken. Een valse identiteitskaart of een āvideovergaderingā met een gezicht dat lijkt te bewegen volstaat soms al. Zo wordt de identiteitsschijn versterkt.
Voor de ontvanger is het verschil tussen echt en nep lastig te horen of te zien. De kwaliteit van modellen stijgt snel. Tegelijk dalen de kosten. Dat verschuift de machtsbalans richting de aanvaller.
Aanvallen via alle kanalen
E-mail blijft populair, maar criminelen verplaatsen zich naar WhatsApp, sms en Telegram. Ze koppelen berichten slim aan betaalverzoeken en bezorgupdates. Ook misbruik van inlogportalen en cloudaccounts groeit. Een klik op de verkeerde link of QR-code is genoeg.
QR-oplichting (quishing) duikt op in parkeergarages, horeca en via posters. Het plaatje leidt naar een valse betaal- of inlogpagina. Ook telefonische āsupportcallsā met schermdeelverzoeken komen vaker voor. Zo leggen aanvallers ongemerkt hun handen op bedrijfsnetwerken.
AI helpt bovendien met vertalen, samenvatten en het automatische testen van varianten. Daardoor vinden criminelen razendsnel de meest overtuigende teksten. Berichten zijn foutloos Nederlands en aangepast aan sectorjargon. Kleine ondernemingen en verenigingen zijn hierdoor net zo kwetsbaar als grote bedrijven.
Gemeenten en scholen zien vergelijkbare risicoās. Accounts van directies of docenten zijn waardevol. Toegang tot mailboxen levert informatie en reputatie op. Die combinatie vergroot de kans op geslaagde fraude rond subsidies of facturen.
Europese AI-verordening raakt overheid
De Europese AI-verordening (AI Act) is aangenomen en gaat op het moment van schrijven gefaseerd gelden vanaf 2025 en 2026. Zij eist onder meer transparantie als content is gegenereerd of gemanipuleerd, zoals bij deepfakes. Leveranciers van generatieve modellen moeten risicobeheer en documentatie op orde hebben. Dat helpt gebruikers om misbruik te herkennen en te beperken.
Voor Nederlandse overheden en bedrijven betekent dit: duidelijke labeling, interne richtlijnen en logging. Organisaties moeten weten wanneer zij AI inzetten in communicatie en hoe zij dat melden. De Autoriteit Persoonsgegevens blijft toezien op naleving van de AVG, zoals dataminimalisatie en beveiliging. Het NCSC en het Digital Trust Center publiceren praktische handreikingen voor weerbaarheid.
Daarnaast verplicht NIS2 strengere cybermaatregelen voor essentiƫle en belangrijke organisaties. Incidenten moeten sneller gemeld en gemitigeerd worden. Training en toezicht op toeleveranciers worden nadrukkelijker vereist. Dat verkleint de kans dat AI-gestuurde aanvallen onopgemerkt blijven.
Platformregels uit de Digital Services Act (DSA) zetten druk op sociale netwerken om misleidende accounts aan te pakken. Meldknoppen en transparantieverslagen zijn daar onderdeel van. Samen met bank- en telecomsector kan dit de verspreiding van fraude bemoeilijken. Handhaving en samenwerking bepalen hier het verschil.
Bedrijven en banken reageren al
Nederlandse banken bouwen extra controles in, zoals vertraging bij ongebruikelijke transacties en waarschuwingen in de app. Ook worden namen en rekeningnummers vaker automatisch gecontroleerd. Betalingen buiten EU-banken vallen op door filters. Toch glipt doelgerichte fraude soms door de mazen.
Bedrijven zetten technische drempels in zoals DMARC, SPF en DKIM voor e-mailauthenticatie. Interne procedures schrijven een terugbelactie via een bekend nummer voor. Betalingsverzoeken lopen langs een vier-ogenprincipe. Zo wordt een enkel spoedbericht geen beslissend moment meer.
Sommige organisaties gebruiken detectietools die AI-gegenereerde patronen opsporen. Denk aan afwijkende schrijfstijl of hergebruikte templates. Die systemen vangen een deel van de pogingen, maar niet alles. Bewustwording en training blijven daarom essentieel.
Spearphishing is gerichte phishing waarbij criminelen met behulp van AI iemands toon, voorkeuren en netwerk nabootsen om vertrouwen te wekken.
Wat burgers nu kunnen doen
Controleer altijd via een tweede kanaal. Bel zelf terug op een bekend nummer of stuur een nieuw bericht naar het vaste contact. Doe geen betalingen op basis van druk, emotie of alleen audio. Twijfel? Wacht en vraag een collega of familielid mee te kijken.
Gebruik een wachtwoordmanager en zet waar mogelijk tweestapsverificatie aan, bij voorkeur met een beveiligingssleutel of app. Werk telefoon en laptop bij met de laatste updates. Schakel meldingen in voor banktransacties. Zo ziet u snel of er iets geks gebeurt.
Open geen bijlagen of links uit onverwachte berichten. Typ webadressen zelf in en check het slotje en de domeinnaam. Scan geen willekeurige QR-codes en maak betaalverzoeken alleen aan vanuit uw eigen bankapp. Deel ook geen stemfragmenten of identiteitsfotoās op openbare kanalen.
Wordt u toch geraakt, handel direct. Bel uw bank, wijzig wachtwoorden en meld de zaak bij de Fraudehelpdesk en de politie. Bewaar berichten en schermfotoās als bewijs. Hoe sneller de melding, hoe groter de kans op beperking van schade.
