Google ziet dat cybercriminelen en statelijke groepen kunstmatige intelligentie inzetten om tweefactorauthenticatie (2FA) te omzeilen. Aanvallers combineren generatieve algoritmen met een zogeheten zero-day-exploit, een nog onbekend lek, om sneller in te breken op accounts. De campagne speelt wereldwijd en raakt ook organisaties in Nederland en Europa. Dit roept nieuwe vragen op over de Europese AI-verordening en de gevolgen voor overheid en bedrijfsleven.
AI versterkt phishinggolven
Criminelen gebruiken taalmodellen en code-assistenten om overtuigende phishingmails, chats en nepwebsites te maken. De teksten zijn foutloos, aangepast aan sectorjargon en vaak meertalig. Zo neemt de kans toe dat medewerkers op links klikken of gegevens delen.
Met spraaksynthese bouwen groepen bovendien geautomatiseerde belscripts voor “vishing”. Een synthetische stem doet zich voor als IT-helpdesk en vraagt om codes of goedkeuring. Door deze automatisering kunnen aanvallers op grote schaal en op tijden met weinig toezicht toeslaan.
AI versnelt ook de technische kant van aanvallen. Modellen helpen bij het schrijven en testen van code voor realtime phishing-proxies. Deze tussenlagen kapen inlogsessies en voeren stappen uit die normaal door een gebruiker worden gedaan.
Zero-day omzeilt 2FA-controle
Google rapporteert misbruik van een zero-day, een kwetsbaarheid die op het moment van misbruik nog niet publiek bekend is of gepatcht. In combinatie met phishing kan zo’n lek sessietokens of cookies opleveren. Daarmee krijgt een aanvaller toegang zonder een extra code te hoeven invoeren.
Twee-factorauthenticatie (2FA) vraagt naast een wachtwoord om een tweede bewijs, zoals een sms-code, app-melding of hardware-sleutel.
Veel aanvallen richten zich op de zwakste schakel van 2FA, zoals sms of pushmeldingen. Via “token-relay” onderschept een proxy de inlog en zet die direct door, zodat de drempel van 2FA in de praktijk verdwijnt. Ook herstelprocedures, zoals “wachtwoord vergeten”, kunnen worden misbruikt als die niet goed zijn afgeschermd.
Dat betekent niet dat 2FA nutteloos is. Fysieke beveiligingssleutels en zogeheten passkeys zijn phishingbestendig, omdat ze de aanvragende website cryptografisch controleren. Organisaties die daarop overstappen, verlagen het risico aanzienlijk.
Europese regels sturen aanpak
De AVG verplicht organisaties om passende beveiliging en dataminimalisatie toe te passen. Bij diefstal van sessietokens of accountovernames kan sprake zijn van een datalek, dat binnen 72 uur bij de Autoriteit Persoonsgegevens moet worden gemeld. Voor vitale sectoren gelden bovendien strengere meldplichten via NIS2.
De Europese AI-verordening (AI Act) legt transparantie-eisen op voor synthetische media en risicovolle AI-toepassingen. Dat raakt onder meer het gebruik van deepfake-stemmen in klantenservice of overheidstelefonie. Organisaties moeten, op het moment van schrijven, rekening houden met gefaseerde invoering en documentatie-eisen voor gebruikte modellen en datasets.
PSD2 schrijft sterke klantauthenticatie voor bij betalingen, maar niet elke 2FA-methode is even sterk. Passkeys op basis van FIDO2/WebAuthn voldoen beter aan “phishingbestendig” dan sms of e-mail. De aankomende Cyber Resilience Act stimuleert daarnaast veilig ontwikkelen en melden van kwetsbaarheden, wat misbruik van zero-days moet beperken.
Kies phishingbestendige logins
Stap waar mogelijk over op passkeys of hardware-sleutels en beperk sms-codes tot noodscenario’s. Zet “number matching” of bevestiging met code-invoer aan voor pushmeldingen om klakkeloos goedkeuren te voorkomen. Koppel inlogsessies aan het apparaat (token binding) en dwing herauthenticatie af bij gevoelige acties.
Verhard herstel- en resetprocedures met extra controles, zoals identiteitscheck of beheerdersgoedkeuring. Schakel e-mail- of sms-herstel uit voor accounts met verhoogde rechten. Monitor actief op verdachte inlogpatronen en blokkeer aanmeldingen via anonieme proxies.
Beperk de kans op succesvolle phishing met SPF, DKIM en DMARC voor uitgaande mail. Gebruik browser-isolatie of URL-herkenning die realtime phishing-proxies kan stoppen. Combineer dit met korte, regelmatige training en oefencampagnes die specifiek op Nederlandse sectoren en workflows zijn afgestemd.
Nederlandse diensten in het vizier
Publieke instellingen, zorg en onderwijs werken veel met webportalen en cloudmail, die vaak doelwit zijn van sessiekaping. Gemeenten en uitvoeringsorganisaties moeten extra letten op het beheer van accounts met toegang tot persoonsgegevens. Een succesvolle kaping kan direct leiden tot AVG-meldingen en dienstverlening die stilvalt.
Voor betaal- en fintech-diensten is naleving van PSD2 en toezicht door De Nederlandsche Bank en de Autoriteit Financiële Markten relevant. Phishingbestendige authenticatie verkleint zowel fraude als boeterisico. Ook kleinere leveranciers aan de overheid vallen onder NIS2-keteneisen en doen er goed aan nu al passkeys te plannen.
Leveranciers van spraakbots en klantenservice-automatisering moeten transparant zijn als zij synthetische stemmen inzetten. De AI-verordening verlangt duidelijke labeling van deepfakes en passende logging. Dat helpt misbruik te onderscheiden van legitiem gebruik en ondersteunt forensisch onderzoek bij incidenten.
