Jonge internetoplichters volgen cursussen op het darkweb en kopen voor ongeveer 150 euro een starterspakket voor phishing. Dat gebeurt op het moment van schrijven in zowel België als Nederland, en breidt zich online snel uit. De oplichters gebruiken kunstmatige intelligentie om teksten, stemmen en websites geloofwaardig te maken. Dit raakt ook de Europese AI-verordening en heeft gevolgen voor overheid en politie.
Darkweb verlaagt instapdrempel
Het darkweb is een verborgen deel van het internet dat je alleen bereikt met speciale software. Daar bieden verkopers complete lespakketten, handleidingen en “phishing-as-a-service” aan. Een starterspakket kost vaak rond de 150 euro en bevat kant-en-klare nepwebsites, scripts en uitleg. Betalen gebeurt meestal met cryptomunten, wat de drempel verder verlaagt.
De pakketten richten zich op beginners en beloven snelle resultaten. Ze komen met stap-voor-stap video’s en chatgroepen waar beginnende phishers vragen kunnen stellen. Jongeren met basiscomputerkennis kunnen zo in korte tijd een campagne opzetten. De sociale media en messaging-apps worden gebruikt om slachtoffers te bereiken.
De lage prijs en het gemak zorgen voor snelle verspreiding. Wie geen technische kennis heeft, huurt een dienst in die alles uit handen neemt. Dat maakt opsporing lastiger, omdat daders en leveranciers vaak in verschillende landen zitten. Europol ziet dat criminele diensten steeds meer op een marktplaats lijken.
Phishing-kits zijn kant-en-klare pakketten met nepwebsites, scripts en handleidingen. Ze verkorten de voorbereiding van uren naar minuten.
Phishing-kits worden professioneler
Moderne kits leveren overtuigende kopieën van bank- en overheidssites, inclusief logo’s en inlogschermen. Ze bevatten dashboards om gestolen gegevens live te volgen. Veel pakketten sturen inloggegevens via bots door naar Telegram, zodat de dader snel kan handelen. Sommige kits kunnen ook codes voor twee-factor-authenticatie proberen te onderscheppen.
Om blokkades te omzeilen, wisselen de systemen automatisch van domein of hosting. Ze misbruiken gehackte websites of goedkope cloudservers. In e-mails en sms-berichten (“smishing”) worden verkorte links gebruikt om controle te ontwijken. Daardoor wordt het voor filters en slachtoffers moeilijker om nep en echt te onderscheiden.
Ook “vishing” neemt toe: oplichting via telefoongesprekken. Criminelen combineren lijsten met telefoonnummers met gescripte belrondes. Met nummer-spoofing lijkt het alsof de bank of een overheidsnummer belt. Dit vergroot het vertrouwen bij slachtoffers en versnelt de fraude.
Generatieve AI versterkt oplichting
Generatieve AI is software die zelf tekst, beeld of audio maakt. Taalmodellen zoals ChatGPT en open-source modellen helpen bij foutloze, overtuigende berichten in het Nederlands. Beeldgeneratoren leveren realistische pasfoto’s of screenshots voor nepprofielen. Voice-cloning diensten kunnen stemmen nadoen voor geloofwaardige telefoontjes.
Deze AI-systemen hebben vaak misbruikfilters, maar die zijn niet waterdicht. Criminelen proberen ze te omzeilen door opdrachten te verhullen. Ook circuleren modellen zonder veiligheidsremmen op fora buiten de EU. Daardoor neemt de kwaliteit en snelheid van phishing merkbaar toe.
Tegelijk bouwen bedrijven detectie in, zoals watermerken en patroonherkenning. Banken en telecombedrijven gebruiken algoritmen om afwijkend gedrag te zien. Denk aan ongebruikelijke transacties of massale sms-verzending. Die tegenmaatregelen lopen echter achter op de snelle vernieuwing in het criminele ecosysteem.
Banken en politie schalen op
Banken in Nederland en België zetten datamodellen in om verdachte betalingen te blokkeren. Ze sturen push-waarschuwingen bij risicovolle acties en verhogen limieten niet zonder extra controle. PSD2 verplicht sterke klantauthenticatie, wat extra bescherming biedt bij betalen. Toch blijft social engineering een zwak punt, omdat mensen te overtuigen zijn.
De politie en justitie investeren in snellere melding en afhandeling. Nederlandse teams zoals het Team High Tech Crime en Belgische cyberunits werken met Europol aan internationale takedowns. Hostingproviders krijgen verzoeken om malafide sites snel te verwijderen. Samen met de Fraudehelpdesk en Safeonweb worden burgers actief gewaarschuwd.
Onderwijs en voorlichting richten zich steeds vaker op jongeren. Scholen en gemeenten krijgen lespakketten over digitale weerbaarheid. Doel is om de verleiding van “makkelijk geld” te verkleinen en de gevolgen te laten zien. Dat is nodig, omdat daders steeds jonger worden gerekruteerd via sociale media.
AI-verordening gevolgen overheid
De Europese AI-verordening (AI Act) stelt regels voor het gebruik van AI, onder meer rond deepfakes en transparantie. Diensten die burgers profileren of risico’s inschatten vallen mogelijk in een hogere risicoklasse. Overheden en banken moeten dan extra documentatie, testen en menselijk toezicht inbouwen. Dat moet discriminatie en fouten in beslissingen voorkomen.
De AVG blijft leidend bij gegevensverwerking. Dataminimalisatie en versleuteling zijn verplicht, ook bij fraudedetectie. Organisaties moeten kunnen uitleggen welke gegevens ze verzamelen en waarom. Burgers houden recht op inzage en bezwaar tegen geautomatiseerde besluitvorming.
NIS2 scherpt de beveiligingsplicht aan voor essentiële en belangrijke diensten, waaronder telecom en financiële infrastructuur. Dat betekent strengere audits, incidentmelding en ketenverantwoordelijkheid. Voor opsporingsdiensten vraagt dit om meer samenwerking met toezichthouders en CERT’s. De combinatie van AI Act, AVG en NIS2 zet zo kaders voor preventie én handhaving.
Wat burgers nu kunnen doen
Klik niet op links in onverwachte berichten van “bank” of “overheid”. Typ het webadres zelf in of gebruik de officiële app. Deel nooit inlogcodes via telefoon of chat, ook niet “ter verificatie”. Nummerweergave is te vervalsen, dus hang op en bel zelf terug via een bekend nummer.
Controleer altijd het webadres en het slotje, maar vertrouw daar niet blind op. Let op spelfouten, ongebruikelijke druk en tijdsdruk. Vraag bij twijfel iemand in je omgeving mee te kijken. Meld verdachte berichten bij de Fraudehelpdesk (NL) of Safeonweb (BE).
Schakel meldingen in voor betaalpogingen en limietwijzigingen. Update telefoon en computer, en gebruik unieke wachtwoorden met een wachtwoordmanager. Zet waar mogelijk app- of apparaatvergrendeling aan voor twee stappen. Zo maak je misbruik door phishing en social engineering een stuk lastiger.
