Beveiligingsbedrijf KnowBe4 meldt dat op het moment van schrijven 86 procent van recente phishingaanvallen wordt aangestuurd door kunstmatige intelligentie. Het gaat vooral om e-mails en berichten die door generatieve systemen zijn opgesteld. De trend speelt wereldwijd en raakt ook Nederlandse en Europese organisaties. Aanvallers gebruiken AI omdat het sneller, goedkoper en overtuigender is.
AI vergroot slagkracht phishing
Generatieve AI kan in seconden foutloze teksten maken in elke taal. Daardoor vallen klassieke signalen als spelfouten of rare zinsbouw weg. Berichten ogen persoonlijk en professioneel, wat de kans op klikken vergroot.
Dezelfde modellen kunnen ook schrijfstijlen nabootsen. Aanvallers trainen een systeem met openbare posts of eerdere e-mails. Zo lijkt een bericht echt van een collega of leverancier te komen.
AI versnelt ook het voorwerk. Algoritmen schrapen publiek beschikbare data om profielen te maken. Die data helpen om berichten te timen, bijvoorbeeld vlak voor een deadline of vakantie.
Cijfers tonen snelle verschuiving
KnowBe4 ziet dat AI nu in de meerderheid van phishingcampagnes wordt ingezet. Het bedrijf analyseert trainingsdata en meldingen van klanten wereldwijd. De 86 procent is een momentopname en kan per sector verschillen.
86 procent van de phishingaanvallen wordt op het moment van schrijven aangestuurd door AI, meldt KnowBe4.
Het gebruik loopt uiteen van het genereren van tekst en vertalingen tot het maken van overtuigende onderwerpregels. Ook worden bijlagen en landingspagina’s automatisch aangepast per doelwit. Die variatie maakt grootschalige detectie lastiger.
Voor Nederland en de EU is de impact zichtbaar bij overheid, zorg en onderwijs. Deze sectoren werken veel met e-mail en self-serviceportalen. Zij hebben vaak te maken met wisselende teams, wat de kans op vergissingen vergroot.
Europa scherpt regels aan
De Europese AI-verordening (AI Act) treedt gefaseerd in werking tussen 2024 en 2026. De wet verplicht aanbieders van generatieve modellen tot transparantie en duidelijk labelen van deepfakes. Dat maakt misbruik niet onmogelijk, maar verlaagt wel het risico op grootschalige misleiding.
De AVG blijft leidend bij gegevensverwerking door organisaties die doelwit zijn. Dataminimalisatie en versleuteling beperken wat aanvallers kunnen oogsten. Wie persoonsgegevens gebruikt voor AI, moet een rechtsgrond hebben en passende beveiliging toepassen.
NIS2 verplicht vitale en belangrijke organisaties tot strengere cyberbeveiliging en incidentmelding. AI-gestuurde phishing telt mee als relevante dreiging in risicobeoordelingen. Bestuurders kunnen aansprakelijk worden bij tekortschietende maatregelen.
Detectietools lopen achter op AI
Veel spamfilters zoeken nog op herhalende patronen, domeinen en vaste zinsdelen. AI-teksten zijn juist gevarieerd en contextueel. Daardoor glippen steeds meer berichten langs basisfilters.
Beelden en stemmen worden ook misbruikt. Met synthetische audio kan een “manager” om een spoedbetaling vragen. Klassieke verificatie per e-mail is dan niet genoeg.
Leveranciers bouwen tegenmaatregelen met eigen datamodellen. Die analyseren schrijfstijl, afzenderreputatie en gedrag van gebruikers. Toch blijft het een kat-en-muisspel waarbij aanvallers snel nieuwe varianten proberen.
Bedrijven moeten weerbaarheid verhogen
Begin met technische hygiëne: DMARC, SPF en DKIM verkleinen spoofing. Schakel multi-factorauthenticatie in voor e-mail en betaalplatforms. Stel betalings- en wijzigingsverzoeken altijd dubbel vast via een tweede kanaal.
Maak medewerkers weerbaar met realistische simulaties en korte, regelmatige training. Laat voorbeelden zien van AI-gegenereerde mails, QR-phishing en neppe Teams- of WhatsApp-berichten. Evalueer na elk incident wat wel en niet werkte.
Leg vast wie beslist bij spoedverzoeken en buitendienstsituaties. Gebruik duidelijke procedures voor leveranciersupdates en bankwijzigingen. Bewaar logs en meld ernstige incidenten tijdig aan de toezichthouder, ook onder de AVG en NIS2.
Nederlandse context en vervolgstappen
Overheidsdiensten en zorginstellingen hebben vaak complexe ketens met veel externe partijen. Dit vergroot het aanvalsoppervlak voor AI-gestuurde social engineering. Het Nationaal Cyber Security Centrum wijst al langer op discipline in basismaatregelen.
De Autoriteit Persoonsgegevens kan boetes opleggen bij datalekken na phishing als beveiliging tekortschiet. Denk aan onvoldoende MFA of zwakke toegangsrechten. Een DPIA helpt om risico’s van AI en e-mailstromen vooraf te beoordelen.
Plan tot slot periodieke testen met red-teaming of phishingassessments, ook bij leveranciers. Leg afspraken contractueel vast en controleer naleving. Zo sluiten beleid, techniek en menselijk gedrag beter op elkaar aan.
