Meta meldt dat kwaadwillenden met behulp van de chatbot Meta AI tienduizenden Instagram-accounts hebben overgenomen. De aanval speelde zich recent wereldwijd af en kan ook Europese gebruikers raken. Aanvallers gebruikten misleiding en geautomatiseerde stappen om inloggegevens te stelen en herstelprocessen te misbruiken. Dat roept vragen op over de Europese AI-verordening en gevolgen voor overheidstoezicht.
Misbruik van Meta AI
Meta AI is de digitale assistent van Meta, gebouwd op het Llama 3-model. De bot zit in Instagram, Facebook en WhatsApp en kan teksten genereren en vragen beantwoorden. Criminelen zetten deze functies in om geloofwaardige berichten te maken en slachtoffers naar nepwebsites te sturen. Zo werd het eenvoudiger om mensen te laten klikken en in te loggen op valse pagina’s.
De kern van de aanval lijkt social engineering, ofwel slimme misleiding. Phishing is een truc waarbij een nepbericht je vraagt om je wachtwoord in te vullen. Daarna misbruiken aanvallers het herstelproces van een account om blijvend toegang te krijgen. In veel gevallen verliezen slachtoffers direct de controle over hun profiel.
Meta spreekt van een grote schaal, maar deelt geen landenlijsten of exacte aantallen. Creators en kleine bedrijven zijn extra kwetsbaar, omdat hun Instagram-profiel vaak direct inkomen oplevert. Zij raken niet alleen hun volgers kwijt, maar ook advertentietegoeden en bestellingen in winkels via Instagram.
“Tienduizenden Instagram-accounts raakten overgenomen,” meldt Meta.
Meta scherpt beveiliging aan
Het bedrijf heeft noodmaatregelen ingevoerd om het misbruik in te dammen. Prompts en antwoorden rond ‘ondersteuning’, ‘verificatie’ en wachtwoordherstel in Meta AI worden strenger gefilterd. Links in door de assistent gegenereerde berichten worden extra gecontroleerd. Ook worden verdachte patronen sneller geblokkeerd.
Voor getroffen gebruikers biedt Meta herstel via het Accounts Center met extra controles. Denk aan aanvullende identiteitschecks en verplichte wachtwoordresets. Gebruikers krijgen meldingen over ongebruikelijke aanmeldingen en kunnen open sessies op afstand uitloggen.
Meta zegt daarnaast samen te werken met opsporingsdiensten en toezichthouders. Het bedrijf onderzoekt hoe de campagne is georganiseerd en welke infrastructuur is gebruikt. Op het moment van schrijven loopt dat onderzoek nog.
AI-verordening en DSA eisen
Als er Europese persoonsgegevens zijn gelekt, geldt de AVG. Dan moet Meta binnen 72 uur de toezichthouder informeren en, bij hoog risico, ook betrokken gebruikers inlichten. Op het moment van schrijven is geen uitsplitsing per land gedeeld, waardoor onduidelijk is hoeveel EU-gebruikers zijn geraakt.
Instagram valt onder de Digital Services Act (DSA) als zeer groot platform. Daarmee moet Meta systemische risico’s, zoals grootschalige fraude en misbruik van algoritmen, aantoonbaar verminderen. Ook zijn er verplichtingen voor transparantie, risicobeoordelingen en onafhankelijke audits.
De Europese AI-verordening (AI Act) legt extra plichten op aan aanbieders van general-purpose AI, zoals Llama 3. Die omvatten onder meer transparantie over trainingsdata en maatregelen tegen misbruik. Integratie van zo’n model in consumentendiensten vraagt dus om extra waarborgen en toezicht door Europese autoriteiten.
Grenzen aan AI-veiligheid
Beveiligingsfilters in taalmodellen houden niet alle misleiding tegen. Als een bot een directe fraudevraag weigert, kunnen aanvallers de opdracht net anders formuleren. De combinatie van geloofwaardige taal en hoge snelheid maakt campagnes schaalbaar. Dat vergroot de druk op detectie en moderatie.
Ook processen buiten de bot blijven kwetsbaar. Het accountherstel van platforms is een doelwit, zeker als e-mail of sms zwak is beveiligd. Meer ‘wrijving’, zoals extra verificatiestappen, helpt maar kan gebruikers gemak kosten. De afweging tussen veiligheid en gebruiksgemak staat hier centraal.
Zakelijke accounts lopen extra risico door toegang tot advertenties en betaalgegevens. Een korte kaping kan al leiden tot ongewenste aankopen of reputatieschade. Daarom is het beperken van rechten per teamlid en het loggen van acties essentieel.
Advies voor Instagram-gebruikers
Zet tweestapsverificatie (2FA) aan met een authenticator-app of een beveiligingssleutel. 2FA is een extra stap na je wachtwoord en maakt misbruik veel lastiger. Vermijd waar mogelijk sms-codes, omdat die te onderscheppen zijn.
Controleer in het Accounts Center je aanmeldingsgeschiedenis en actieve sessies. Log onbekende apparaten uit, wijzig direct je wachtwoord en update je herstel-e-mailadres. Wees alert: Instagram Support vraagt nooit om je wachtwoord via een privébericht.
Voor Nederlandse gebruikers is melding bij de Fraudehelpdesk en aangifte bij de politie verstandig bij financiële schade. Bedrijven doen er goed aan meerdere beheerders te hebben, rechten te beperken en hardware-keys te gebruiken. Leg tot slot een eenvoudig incidentplan vast: wie doet wat in het eerste uur na een kaping?
