De Amerikaanse securityspecialist KnowBe4 meldt dat 86% van phishingaanvallen wordt aangestuurd door kunstmatige intelligentie. Het bedrijf onderzocht recente incidenten en trainingsdata onder organisaties wereldwijd, ook in Europa. De bevindingen raken aan de Europese AI-verordening en hebben gevolgen voor overheid en bedrijven. Op het moment van schrijven waarschuwen experts dat aanvallen sneller, persoonlijker en moeilijker te herkennen worden.
AI stuurt phishing aan
Phishing is online oplichting waarbij criminelen iemand misleiden om op een link te klikken of gegevens te delen. Generatieve AI, software die zelf tekst, beeld of audio maakt, verlaagt de drempel om zulke berichten te schrijven. Grote taalmodellen (taalalgoritmen die mensachtige tekst genereren) maken foutloze e-mails in elke taal. Daardoor voelt een nepmail steeds meer als een echt bericht van een collega of bank.
KnowBe4 stelt dat een groot deel van recente phishingcampagnes door algoritmen wordt opgesteld of verrijkt. Dat kan gaan om het herschrijven van tekst, het vertalen naar lokaal Nederlands, of het inbouwen van geloofwaardige details. Ook zien organisaties meer gerichte pogingen, zoals spearphishing, die informatie van LinkedIn of eerdere lekken gebruiken. Die aanpak vergroot de kans dat iemand toch klikt.
De inzet van AI maakt aanvallen bovendien schaalbaar. Criminelen testen tientallen varianten tegelijk en kiezen wat het beste werkt. Ze combineren e-mail met sms (smishing) en telefoon (vishing) om extra druk te zetten. Zo ontstaat een geloofwaardige keten van berichten die elkaar versterken.
“86% van de phishingaanvallen wordt aangestuurd door AI, stelt KnowBe4.”
Tekst en stem geloofwaardiger
AI kan niet alleen schrijven, maar ook stemmen nabootsen. Spraakklonen maakt een overtuigende boodschap van “de directeur” mogelijk in WhatsApp of via een voicemail. Die techniek heet een deepfake: een door AI gemaakte audio of video die echt lijkt. Dit vergroot Business Email Compromise (BEC), oplichting waarbij een aanvaller zich voordoet als een leidinggevende.
De drempel om zulke tools te gebruiken daalt. Basisversies zijn openbaar en eenvoudig te bedienen. Een aanvaller hoeft geen programmeur te zijn om een nette Nederlandse mail of een korte spraakboodschap te maken. Daardoor schuift de focus van technische naar psychologische verdediging: herken patroon en druk, niet alleen spelfouten.
Voor gebruikers is het verschil lastig te horen of te lezen. Kleine signalen blijven wel belangrijk, zoals onverwachte urgentie of verzoeken om geheimhouding. Controleer altijd via een tweede kanaal, bijvoorbeeld telefonisch via een bekend nummer. Dat kost tijd, maar voorkomt dure fouten.
Europese AI-verordening gevolgen overheid
De Europese AI-verordening (AI Act) verplicht aanbieders van bepaalde AI-toepassingen tot transparantie en zorgvuldigheid. Deepfakes moeten als kunstmatig gemarkeerd worden, zodat mensen weten dat audio of beeld niet echt is. Delen van de wet gelden al; andere verplichtingen treden in 2026 volledig in werking. Overheidsinstellingen moeten hun inkoop en communicatie hierop aanpassen.
De AVG blijft van kracht bij datalekken door phishing. Organisaties moeten persoonsgegevens beveiligen, dataminimalisatie toepassen en ernstige lekken binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Voor veel sectoren gelden daarnaast strengere zorgplichten onder de NIS2-richtlijn. Die vraagt om risicobeheer, incidentrespons en training van personeel.
Voor publieke diensten betekent dit: beleid en praktijk moeten samen optrekken. Inkoop van AI en beveiligingstools vraagt om DPIA’s (gegevensbeschermingseffectbeoordelingen) en duidelijke afspraken met leveranciers. Transparantie-eisen rond deepfakes raken ook publiekscommunicatie, bijvoorbeeld bij video’s of voicebots van de overheid.
Nederlandse organisaties kunnen gebruikmaken van richtlijnen van het Nationaal Cyber Security Centrum en het Digital Trust Center. Deze geven praktische handvatten voor phishingpreventie en incidentafhandeling. Zo wordt beleid concreet gemaakt op de werkvloer. Dat is nodig nu aanvallen sneller veranderen dan voorheen.
Werkvloer vraagt om training
Bewustwording blijft de zwakste en tegelijk sterkste schakel. Regelmatige, korte trainingen helpen medewerkers om AI-gestuurde trucs te herkennen. Denk aan het doorzien van urgentietaal, afwijkende betaalinstructies en het controleren van afzenders. Herhaling en variatie werken beter dan één jaarlijkse cursus.
Phishingsimulaties kunnen helpen, mits zorgvuldig ingezet. Het doel is leren, niet beschamen. Betrek ondernemingsraad en privacy officers en informeer vooraf over opzet en doelen. Verzamel zo min mogelijk persoonsgegevens en versleutel resultaten; dat past bij de AVG.
Bestuur en directie moeten zichtbaar meedoen. Wanneer leidinggevenden zelf de regels volgen, wordt melden van twijfel normaal. Dat verkort de tijd tot detectie en beperkt schade. Maak het melden laagdrempelig en beloon alert gedrag.
E-mail en identiteit beveiligen
Techniek blijft noodzakelijk naast training. Schakel multifactor-authenticatie (MFA) in: een extra inlogstap met app of sms-code. Dit beperkt schade als wachtwoorden uitlekken. Stel ook moderne e-mailfilters in die verdachte links en bijlagen blokkeren.
Bescherm het domein van de organisatie met SPF, DKIM en DMARC. Dat zijn e-mailstandaarden die controleren of een afzender echt is en misbruik van uw domeinnaam tegenhouden. Begin met een monitorstand (p=none) en werk toe naar weigeren (p=reject) zodra de configuratie klopt. Zo verkleint u spoofing zonder legitieme mail te breken.
Beperk de hoeveelheid publiek beschikbare informatie over interne processen en contactpersonen. Aanvallers gebruiken die details om geloofwaardige verhalen te bouwen. Overweeg ook waarschuwingslabels bij externe e-mail. Dat herinnert medewerkers aan extra controle bij betaal- of wachtwoordverzoeken.
Cijfers vragen om nuance
Het genoemde percentage is indrukwekkend, maar vraagt context. Het komt uit bedrijfsdata en analyses van één leverancier. Methodes en definities kunnen verschillen per partij en sector. Onafhankelijk onderzoek blijft nodig om trends te bevestigen.
Belangrijk is de richting: AI vergroot snelheid, schaal en kwaliteit van misleiding. Of het nu 60%, 80% of 86% is, organisaties moeten hun basis op orde brengen. Meetbaar beleid, training en technische maatregelen vormen samen een verdedigingslijn. Zonder die mix blijven filters en firewalls alleen onvoldoende.
Voor Nederlandse organisaties gelden tenslotte concrete plichten. Onder de AVG en NIS2 zijn risicobeoordelingen, logging, en incidentprocedures niet optioneel. Begin daarom met een realistisch stappenplan: inventariseer risico’s, train teams, verbeter e-mailauthenticatie en test de respons. Zo wordt AI een factor om rekening mee te houden, niet om bang voor te zijn.