Cisco Talos ziet dat cybercriminelen hun pijlen vaker richten op mensen met AI-gestuurde phishing. Het gaat om aanvallen via e‑mail, chat en stem, wereldwijd en ook in Nederland. Deze verschuiving speelt nu, omdat technische beveiliging strenger wordt en de mens de zwakste schakel blijft. De Europese AI-verordening heeft gevolgen voor overheid en bedrijven, vooral bij nepbeelden en deepfakes.
Criminelen mikken op mensen
Phishing is misleiding via nepberichten om inloggegevens of geld te stelen. Cisco Talos meldt dat criminelen sociale tactieken voorrang geven boven het hacken van systemen. Denk aan zakelijke e‑mailfraude (BEC), valse facturen en zogeheten quishing, dat zijn QR-codes die naar malafide sites leiden. Zo omzeilen aanvallers firewalls en antivirus, en grijpen ze direct in op vertrouwen.
De opmars komt doordat bedrijven beter patchen en meer tweestapsverificatie gebruiken. Aanvallers zien dat de kortste weg nu vaak loopt via een medewerker of leverancier. Ze combineren e‑mail met chat en telefoontjes, soms met een nagemaakte stem van een leidinggevende. Dit vergroot de kans dat iemand toch op een link klikt of een betaling goedkeurt.
Voor Nederland is dit relevant omdat veel datalekken beginnen met een overtuigend bericht. Sectoren als overheid, zorg en onderwijs verwerken veel persoonsgegevens en staan vaak onder tijdsdruk. Ook ketenaanvallen via mkb‑leveranciers nemen toe. Daardoor groeit de kans op verstoring van publieke diensten en financiële schade.
Generatieve AI versnelt phishing
Generatieve AI, zoals grote taalmodellen die tekst produceren, maakt nepmails vloeiender en foutloos. De systemen schrijven in meerdere talen en passen toon en jargon aan per doelgroep. Openbare modellen zoals GPT‑4 en open‑sourcemodellen zoals Llama‑varianten verlagen de drempel. Criminelen kunnen lokaal draaien en zo detectie ontwijken.
Bovendien helpt AI met voorbereiding, zoals het samenvatten van openbare profielen voor gerichte berichten. Er circuleren ook specifieke tools op fora, eerder doken namen op als “WormGPT” en “FraudGPT”. Zulke bots zijn afgestemd op social engineering, het beïnvloeden van menselijk gedrag. Ze leveren voorbeelden, onderwerpregels en zelfs code voor overtuigende landingspagina’s.
Niet alleen tekst, ook beeld en audio worden ingezet. Deepfakes zijn nagemaakte beelden of stemmen met behulp van algoritmes. Daarmee ontstaan realistische “CEO‑calls” of nepvergaderingen om betalingen door te drukken. In combinatie met QR‑codes en chatkanalen ontstaat een gestroomlijnde fraude‑keten.
AI‑gestuurde phishing gebruikt taal- en mediageneratie om berichten geloofwaardiger te maken en zo menselijke beslissingen te sturen.
Europese AI-verordening maakt eisen strenger
De AI‑verordening (AI Act) verplicht aanbieders om deepfakes herkenbaar te maken. Dat helpt bij het beoordelen van beelden of stemmen die in omloop zijn. Voor platformen en grote bedrijven betekent dit nieuwe plichten rond labeling en logging. Organisaties doen er goed aan beleid en detectieprocessen hierop in te richten.
De AVG blijft leidend voor privacy bij verdedigingsmaatregelen. Wie e‑mailscans of AI‑filters inzet, heeft een grondslag nodig en moet dataminimalisatie toepassen. Versleuteling en beperkte bewaartermijnen zijn belangrijk, net als transparantie richting personeel. Een functionaris gegevensbescherming moet dit op het moment van schrijven toetsen binnen governance‑kaders.
Daarnaast vraagt NIS2 om strenger risicobeheer en snelle incidentmeldingen bij vitale en belangrijke entiteiten. Dit vergroot de druk op leveranciersketens en verslaglegging. Contracten met security‑ en AI‑dienstverleners moeten deze plichten borgen. Inkoop en compliance worden daarmee directe partners van de CISO.
Nederlandse organisaties extra kwetsbaar
Publieke diensten en zorginstellingen zijn vaak doelwit door hun maatschappelijke rol. Piektijden en krappe bezetting maken het moeilijk om elk bericht kritisch te checken. Ook gemeenten en scholen verwerken veel gevoelige gegevens. Een enkele fout kan al leiden tot toegang tot hele systemen.
Nederland ziet geregeld phishingrondes rondom DigiD, pakketbezorging en energiecompensatie. Criminelen spiegelen taal en vormgeving van bekende merken zeer precies. E‑mailauthenticatie met SPF, DKIM en DMARC is nog niet overal volledig ingesteld. Daardoor blijven domeinspoofing en look‑alike‑domeinen effectief.
Leveranciers en uitzendkrachten vormen extra ingangen voor misbruik. Aanvallers richten zich op de makkelijkste toegang in de keten. Zonder uniforme basismaatregelen ontstaat een domino‑effect. Daarom zijn gezamenlijke oefeningen en eenduidige meldprocessen nodig.
Techniek alleen is niet genoeg
Een weerbare aanpak combineert mens, proces en techniek. Versterk e‑mailfilters en webproxys met actuele dreigingsfeeds en modelupdates. Dwing phishing‑resistente inlog in, zoals FIDO2‑sleutels of passkeys voor gevoelige rollen. Stel strikte rechten in en pas het nul‑vertrouwen‑principe toe op toegang.
Investeer tegelijk in gedrag en cultuur. Train met realistische, door AI opgewekte simulaties en bespreek fouten zonder schuld. Maak verificatie via een tweede kanaal standaard bij betaal- en dataverzoeken. Een vierogenprincipe en duidelijke escalatieroutes verkleinen impulsbeslissingen.
Meet en verbeter continu. Houd cijfers bij over meldbereidheid, tijd tot detectie en klikratio’s per afdeling. Voeg een “verdachte e‑mail”-knop toe en zorg voor snelle terugkoppeling. Deel lessen met partners, zodat de hele keten sterker wordt.
