Cybercriminelen zetten kunstmatige intelligentie, versleutelde communicatie en cryptomunten steeds sneller in. Zij gebruiken generatieve AI zoals GPT-4, Google Gemini en Meta Llama 3 om aanvallen op te schalen en te verfijnen. Dit speelt nu, wereldwijd, met duidelijke gevolgen voor Nederland en België. De Europese AI-verordening (AI Act) en de AVG komen daarbij direct om de hoek kijken.
AI versnelt cyberaanvallen
Criminelen misbruiken generatieve AI, software die nieuwe tekst of beelden maakt op basis van voorbeelden, om geloofwaardige phishing en oplichting te schrijven. Modellen als OpenAI’s GPT-4, Google Gemini en open-source Llama 3 leveren snel nette mails in elke taal. Daardoor daalt de drempel: minder technische kennis is nodig om veel slachtoffers te bereiken.
Generatieve AI is software die zelfstandig nieuwe inhoud maakt, zoals tekst, audio of beeld, op basis van patronen in bestaande data.
Ook stem- en beeldklonen worden ingezet om vertrouwen te winnen. Met tools als ElevenLabs of open-source spraaksynthese klinkt een neptelefoontje als een collega of bestuurder. Video-deepfakes helpen bij fraude rond betaalverzoeken en identiteitscontrole. Platforms voeren regels in, maar open modellen zonder strenge filters blijven beschikbaar.
Automatisering maakt de aanvallen schaalbaar. Scripts combineren lekke wachtwoorden, openbare profielen en AI-teksten tot gepersonaliseerde berichten. Zo ontstaan “spearphishing”-golven die filters omzeilen. Bedrijven zien meer pogingen buiten kantooruren en via privékanalen.
Encryptie bemoeilijkt opsporing
Eind-tot-eindversleuteling, versleuteling waarbij alleen zender en ontvanger kunnen meelezen, is standaard in WhatsApp (Signal-protocol) en Signal. Criminelen plannen er aanvallen en delen data zonder dat derden kunnen meekijken. Ook e-maildiensten als Proton Mail en PGP versleutelen communicatie. Dit beschermt burgers, maar bemoeilijkt ook onderzoeken.
Bestanden worden massaal versleuteld en verborgen in cloudopslag. Bij datadiefstal verpakken daders materiaal in sterk versleutelde archieven. Ransomware gebruikt combinaties van AES en RSA om systemen te blokkeren. Zonder back-ups of sleutels staat een organisatie stil.
De AVG stimuleert versleuteling om persoonsgegevens te beveiligen, maar dat heeft een schaduwkant: ook daders profiteren. Tegelijk woedt in Europa het debat over “lawful access”, wettige toegang voor justitie. Voorstellen voor client-side scanning stuiten op privacy- en veiligheidszorgen, en zijn op het moment van schrijven politiek omstreden.
Cryptomunten verhullen geldstromen
Losgeld en fraudeopbrengsten gaan vaak via Bitcoin of privacycoins zoals Monero. Daders gebruiken “mixers”, diensten die transacties vermengen om herkomst te verhullen. Ze hoppen tussen blockchains en wisselen bedragen op ongereguleerde handelsplaatsen. Zo verdwijnen sporen sneller uit beeld.
Europa zet druk via MiCA, de cryptowet die aanbieders verplicht tot transparantie en risicobeheer. De herziene regels voor geldtransfers (Travel Rule) eisen dat cryptobedrijven afzender- en ontvangerinformatie meesturen. In Nederland moeten aanbieders bij De Nederlandsche Bank geregistreerd zijn; in België houdt de FSMA toezicht, op het moment van schrijven. Niet-geregistreerde aanbieders lopen risico op handhaving.
Toch blijft opsporing mogelijk. Bedrijven als Chainalysis en Elliptic leveren ketenanalyse, en Europol werkt met nationale diensten aan inbeslagnames. Mixers en zogeheten tumblers worden soms offline gehaald of vervolgd. Privacycoins en decentrale uitwisselingen houden het kat-en-muisspel echter gaande.
Europa scherpt regels en weerbaarheid
De Europese AI-verordening verplicht aanbieders van generieke AI-systemen, zoals OpenAI, Google en Meta, tot risicobeperking en transparantie. Deepfakes moeten als zodanig herkenbaar zijn, bijvoorbeeld via labels of watermerken. Dat helpt gebruikers, maar criminelen die buiten Europa of buiten het zicht opereren, vallen vaak buiten bereik. Handhaving loopt via het nieuwe AI Office en nationale autoriteiten.
De NIS2-richtlijn verhoogt de minimale cyberhygiëne voor veel sectoren, waaronder zorg, energie en publieke diensten. Organisaties moeten risico’s beheersen, multifactor-authenticatie en logging toepassen, en snel incidenten melden. Nederland werkt dit uit in de Cyberbeveiligingswet; België heeft de NIS2-wet in uitvoering, op het moment van schrijven. Boetes en toezicht worden strenger.
Voor de praktijk betekent dit: minder rechten voor accounts, segmentatie van netwerken en offline back-ups. Train medewerkers om AI-gestuurde phishing te herkennen, ook via telefoon en video. Leg in inkoopcontracten vast dat leveranciers voldoen aan NIS2 en de AVG, inclusief dataminimalisatie en versleuteling. Zo verkleint u de kans dat AI, encryptie en cryptomunten samen een succesvolle aanval mogelijk maken.
