Google waarschuwt dat hackers kunstmatige intelligentie inzetten om tweestapsverificatie te omzeilen met een onbekende kwetsbaarheid. Het gaat om aanvallers die wereldwijd opereren en recente zero-day-exploits gebruiken. De aanvallen richten zich op accounts en bedrijfsnetwerken, ook in Europa en Nederland. Dat raakt direct aan de Europese AI-verordening en de gevolgen voor overheid en bedrijfsleven.
Hackers schalen misbruik met AI
Google ziet dat aanvallers generatieve modellen gebruiken om phishingmails en valse websites sneller te maken. De teksten zijn beter vertaald, persoonlijker en geloofwaardiger. Ook worden chatbots gebruikt om code en scripts te schrijven die controles omzeilen. Zo kan een klein team meer doelwitten tegelijk benaderen.
De inzet van algoritmen versnelt vooral bestaande methoden, zoals spearphishing en social engineering. Het gaat niet om volledig autonome aanvallen, maar om slim gereedschap. Aanvallers testen verschillende berichten, landingspaginaās en tijdstippen automatisch. De beste variant wordt vervolgens massaal ingezet.
Googleās beveiligingsteams, zoals Threat Analysis Group en Mandiant, koppelen dit aan recente campagnes. Daarin worden inloggegevens en sessietokens buitgemaakt. Met die tokens kunnen criminelen soms binnen zonder opnieuw te moeten inloggen. Dat verkleint de kans dat slachtoffers snel iets merken.
Zero-day omzeilt tweestapsbeveiliging
Tweestapsverificatie (2FA) is een extra controle naast je wachtwoord, bijvoorbeeld een code of een beveiligingssleutel. Een zero-day is een fout in software die nog niet openbaar is en waarvoor geen update bestaat. In deze combinatie kunnen aanvallers een lek misbruiken en tegelijk gegevens stelen via een nep-inlogpagina. Zo omzeilen zij in de praktijk de tweede stap.
Vaak gebeurt dit via een tussenstation dat verkeer onderschept, een zogenaamde man-in-the-middle. Het systeem vraagt het slachtoffer gewoon om de code, of kaapt een actieve sessie. Daarna gebruiken criminelen het verkregen sessietoken om toegang te houden. Daardoor lijkt het alsof de tweestapsverificatie netjes is doorlopen.
Google signaleert dat AI de technische en taalkundige drempel verlaagt. Scripts voor het doorsturen van codes of het stelen van cookies zijn snel gegenereerd. Phishingpaginaās zien eruit als het echte portaal van een bank, overheid of clouddienst. Dat vergroot de kans dat een gebruiker toch zijn tweede factor invoert.
Een zero-day is een onbekende fout in software waarvoor nog geen beveiligingsupdate bestaat, en die daarom direct misbruikbaar is.
Phishing-resistente MFA nodig
Niet alle vormen van tweestapsverificatie zijn even sterk. Codes via sms of een app zijn te onderscheppen met slimme tussenpaginaās. Phishing-resistente methoden, zoals FIDO2 en passkeys, koppelen de aanmelding aan het echte domein. Een onderschepper kan die koppeling niet namaken.
Het Nationaal Cyber Security Centrum adviseert al langer hardware-sleutels en passkeys voor belangrijke accounts. Ook helpt nummer-matching bij pushmeldingen tegen kliks uit gewoonte. Sessietoken-beveiliging en device binding verkleinen het misbruik van gestolen cookies. Samen maken deze maatregelen AiTM-aanvallen veel lastiger.
Organisaties kunnen bovendien inlogpogingen beperken tot beheerde apparaten. Ongebruikelijke locaties of nieuwe browsers krijgen extra controles. Inlogsessies worden korter en gevoelige acties vragen herbevestiging. Zo verdwijnt het voordeel van een eerder buitgemaakt token.
AI-verordening scherpt plichten overheid
De Europese AI-verordening legt aanbieders van generatieve systemen extra zorgplichten op, op het moment van schrijven nog in uitwerking. Denk aan misbruikpreventie, beveiligingstests en transparantie over trainingsdata. Dat raakt ook publieke diensten die zulke modellen integreren. Overheden moeten toetsen of leveranciers de risicoās van misbruik beperken.
Daarnaast verplicht NIS2 essentiƫle en belangrijke organisaties tot sterkere beveiliging en incidentmelding. Dat omvat multifactor-authenticatie en patchbeleid voor bekende en onbekende lekken. De AVG blijft gelden voor alle persoonsgegevens die via phishing zijn buitgemaakt. Dat betekent datalekmeldingen en schadebeperking richting betrokkenen.
In de financiƫle sector stelt PSD2 strenge eisen aan sterke klantverificatie. Banken en betaalinstellingen moeten aantoonbaar phishing-resistente oplossingen invoeren. DORA voegt daar voor financiƫle infrastructuur extra test- en rapportageplichten aan toe. Samen dwingen deze regels snellere updates en betere inlogmethoden af.
Impact voor Nederlandse organisaties
Nederlandse bedrijven en overheden doen er goed aan hun MFA-landschap te herzien. Begin met direct risico: vervang sms-codes en simpele pushmeldingen bij gevoelige toegang. Voer passkeys of FIDO2-sleutels in voor beheeraccounts en externe toegang. Maak uitzonderingen tijdelijk en doelbewust, met extra logging.
Versnel patchmanagement en monitor actief op zero-days in VPNās, SSO en mailgateways. Threat intelligence en virtuele patching via web- of identiteitsfirewalls kunnen de tijd tot een update overbruggen. Beperk sessieduur en bind tokens aan apparaten en netwerken. Dat verkleint de winst van token-diefstal.
Train medewerkers op moderne AI-phishing en helpdeskfraude met stemklonen. Leg duidelijke stappen vast voor wachtwoord- en 2FA-resets, met out-of-band controles. Test regelmatig met red teaming of gesimuleerde phishing, in lijn met de AVG. Zo blijft de organisatie weerbaar, ook als aanvallers AI inzetten.
Wat gebruikers nu beschermen
Activeer waar mogelijk passkeys of een fysieke beveiligingssleutel voor je belangrijkste accounts. Controleer altijd de domeinnaam in de adresbalk voordat je een code of bevestiging geeft. Gebruik een wachtwoordmanager om nep-sites te ontmaskeren via automatische invulblokkades. Meld onverwachte inlogverzoeken direct bij de aanbieder.
Houd software en browsers up-to-date om misbruik van lekken te voorkomen. Zet meldingen aan voor nieuwe aanmeldingen en apparaatwijzigingen. Schakel sms-codes uit als er sterkere opties beschikbaar zijn. Bewaar herstelcodes veilig en offline.
Wees extra alert op berichten die haast creƫren of inspelen op angst. AI maakt zulke teksten overtuigender, maar kleine fouten verraden vaak de herkomst. Klik niet door op links uit e-mails als je ook handmatig kunt inloggen. Zo verklein je de kans dat een tussenpagina je sessie kaapt.