ESET: AI-gestuurde aanvallen stijgen, NFC-dreigingen worden slimmer

Cyberbeveiliger ESET ziet een duidelijke toename van AI-gestuurde aanvallen. Het bedrijf publiceert deze week een nieuwe Threat Report met wereldwijde trends en Europese impact. Vooral misbruik van NFC, de techniek achter contactloos betalen en toegangspassen, groeit in aantal en complexiteit. Dit zet druk op bedrijven, overheden en banken, juist nu de Europese AI‑verordening en NIS2 de gevolgen voor overheid en bedrijfsleven aanscherpen.

AI stuurt aanvallen op

ESET meldt dat criminelen kunstmatige intelligentie inzetten om phishingberichten, nepwebsites en valse klantenservice te maken. AI‑modellen schrijven foutloos in lokale talen, waardoor e‑mails en sms-berichten overtuigender worden. Ook deepfakes, nepvideo’s of -audio gemaakt met algoritmen, duiken vaker op in fraude met bestuurders en leveranciers. De drempel om geavanceerde aanvallen te plegen daalt daardoor zichtbaar.

Door AI ontstaan meer doelgerichte berichten, met details uit sociale media of datalekken. Een taalmodel kan varianten genereren totdat een slachtoffer toehapt. Dat maakt klassieke tips als “let op spelfouten” minder bruikbaar. Organisaties moeten hun detectie en training daarop aanpassen.

De Europese AI‑verordening verplicht op het moment van schrijven transparantie bij het gebruik van deepfakes. Dat helpt bij legale toepassingen, maar cybercriminelen houden zich daar niet aan. Wel kunnen bedrijven dit aangrijpen om intern beleid te maken over herkenning en labeling van synthetische media. Zo sluiten techniek en governance beter op elkaar aan.

NFC-misbruik groeit snel

ESET ziet meer dreigingen die misbruik maken van NFC, de korteafstandstechniek achter contactloos betalen en toegang. Aanvallers plaatsen aangepaste NFC‑stickers of tags op bestaande terminals en posters. Een telefoon opent dan ongemerkt een malafide link of start een betaling met een misleidende omschrijving. Ook relay-aanvallen, waarbij het signaal wordt verlengd om transacties te kapen, komen vaker in beeld.

De toename hangt samen met de snelle adoptie van contactloos betalen in Europa en Nederland. In ov, winkels en kantoren is “tap to go” standaard geworden. PSD2 met sterke klantauthenticatie biedt bescherming, maar kleine bedragen en ‘tap to pay’ zonder pincode blijven interessant voor criminelen. Beveiliging is daarom niet alleen een bankzaak, maar ook een infrastructuur- en gebruikersvraagstuk.

Voor Nederlandse organisaties is dit extra relevant bij bezoekersmanagement en gebouwtoegang. Toegangspassen en telefoons met kaartemulatie moeten goed worden ingesteld. Denk aan limieten, device‑verificatie en het uitschakelen van NFC wanneer het niet nodig is. Publieke locaties moeten letten op geplakte tags die naar phishingsites leiden.

NFC is een draadloze techniek voor afstanden van enkele centimeters, veel gebruikt voor contactloos betalen, toegangspassen en het koppelen van apparaten.

Social engineering verfijnt

Met AI worden social‑engineeringtrucs persoonlijker en geloofwaardiger. Stemklonen maken het lastiger om op te hangen bij een dubieuze oproep van “de directeur”. Een chatbot kan live antwoorden tijdens een neponderhandeling. Zo rekken aanvallers het vertrouwen op tot de betaling is gedaan.

ESET benadrukt dat interne processen belangrijker worden dan ooit. Vier‑ogen‑controles en betalingsworkflow in tooling maken een verschil, ook als de mail perfect is geschreven. Spreek af dat kritieke verzoeken altijd via een tweede kanaal worden geverifieerd. Een korte terugbelcontrole voorkomt grote schade.

De AVG blijft het kader voor gegevensbescherming bij dit alles. Dataminimalisatie beperkt welke persoonsgegevens aanvallers uit systemen kunnen stelen. Logging en versleuteling helpen om incidenten sneller te zien en af te sluiten. Meldplichten bij datalekken blijven gelden, ook wanneer AI is ingezet door aanvallers.

Malware sneller aanpasbaar

ESET ziet dat criminelen sneller varianten van malware produceren en testen. Geautomatiseerde scripts en codegeneratie maken kleine wijzigingen eenvoudig. Daardoor glipt dezelfde familie soms langs antivirus of e‑mailfilters. De kern is niet altijd nieuw, maar de verpakking wel.

Info‑stealers en remote‑access-tools profiteren hiervan, omdat ze makkelijk in phishingcampagnes passen. Een Excel‑bestand met macro’s of een “factuur”-pdf blijft een populair lokmiddel. Elke batch is net anders, waardoor handtekening‑gebaseerde detectie minder effectief wordt. Gedragsanalyse en sandboxing winnen daarom aan belang.

Voor Nederlandse en Europese organisaties betekent dit investeren in modern endpoint‑beveiliging en mailgateway‑filtering. Ook applicatie‑controle en het blokkeren van scripttalen waar ze niet nodig zijn, helpen. Leg vast hoe eigen teams AI veilig mogen gebruiken, zodat interne experimenten geen nieuwe aanvalsvector vormen. Zo ontstaat een consistent verdedigingsbeeld.

Europese regels dwingen actie

De NIS2‑richtlijn legt op het moment van schrijven strengere eisen op aan essentiële en belangrijke aanbieders. Denk aan zorg, energie, digitale infrastructuur, overheid en bepaalde maakindustrie. Risicobeheer, leverancierscontrole en meldplichten worden steviger. AI‑gedreven en NFC‑aanvallen vallen binnen diezelfde beveiligingszorg.

De Europese AI‑verordening raakt organisaties via transparantie‑plichten, risicobeoordeling en governance. Deepfake‑labeling en documentatie van datamodellen maken onderdeel uit van compliance. Voor de overheid betekent dit duidelijke kaders voor inkoop en inzet van algoritmen. Voor burgers moet helder blijven wanneer zij met synthetische content te maken hebben.

In het betalingsverkeer blijft PSD2 leidend, met aanstaande vernieuwing richting PSD3/PSR. Banken en fintechs moeten fraude‑analyses en klantauthenticatie blijven aanscherpen. Contactloze betaalstromen verdienen extra aandacht, zeker bij kleine bedragen en offline scenario’s. Nationale toezichthouders zullen hierop doorpakken.

Wat organisaties nu doen

Begin met een actuele dreigingsanalyse gericht op AI‑gestuurde phishing en NFC‑misbruik. Pas beleid aan: verifieer betalingen via een tweede kanaal, en beperk rechten van accounts. Train medewerkers op realistische voorbeelden in het Nederlands. Controleer ook fysieke locaties op geplakte NFC‑tags.

Versterk techniek: moderne e‑mailbeveiliging, endpoint‑detectie, en DNS‑filtering. Schakel macro’s standaard uit en blokkeer zelden gebruikte scripttalen. Zet mobiele beheersystemen in om NFC‑instellingen en app‑rechten te sturen. Laat NFC uit staan waar het niet nodig is, en zet limieten voor tap‑betalingen.

Maak tot slot governance concreet: documenteer AI‑gebruik, label synthetische media en test incidentrespons met deepfake‑scenario’s. Betrek juridische teams bij AVG‑ en AI‑Act‑eisen. Werk met leveranciers aan NIS2‑conforme contracten en monitoring. Zo verklein je het aanvallersvoordeel dat AI en NFC hen nu geven.