Nederlanders voelen zich vaak zeker online, maar dat maakt hen een makkelijke prooi voor phishing. Criminelen gebruiken kunstmatige intelligentie, met tools als ChatGPT (OpenAI) en Gemini (Google), om foutloze en persoonlijke berichten te sturen. In Nederland en de rest van Europa zien banken en hulpdiensten slimmere trucs rond e-mail, sms en WhatsApp. De Europese AI-verordening en de AVG sturen op het moment van schrijven hoe organisaties mogen ingrijpen en gegevens verwerken.
AI maakt phishing geloofwaardiger
Grote taalmodellen, zoals ChatGPT van OpenAI, Gemini van Google en Llama van Meta, schrijven in enkele seconden nette Nederlandstalige teksten. Zulke modellen zijn algoritmen die op basis van voorbeeldteksten nieuw taalgebruik maken. Criminelen gebruiken ze om e-mails en nepwebsites te maken zonder taalfouten en met lokale details. Daardoor valt de gebruikelijke rode vlag, zoals krom taalgebruik, veel minder op.
Ook stem- en videoklonen worden toegankelijker met diensten als ElevenLabs en open-source tools. Een deepfake is een nagebootste stem of video die echt lijkt maar door een model is gemaakt. Daarmee kan een oplichter zich voordoen als een bekende of als een bankmedewerker. Een kort WhatsApp-geluidje of telefoontje kan zo extra druk zetten om snel te betalen.
Beelden en documenten zijn evenmin veilig. Generatoren kunnen logo’s en facturen namaken die lijken op die van PostNL, Belastingdienst of een energiebedrijf. QR-codes en betaalverzoeken worden slim verpakt in vertrouwde huisstijlen. Gecombineerd met openbaar gevonden gegevens, zoals naam en adres, voelt het bericht persoonlijk en dus geloofwaardig.
Zelfoverschatting vergroot klikrisico
Veel mensen denken dat zij phishing meteen herkennen. Die zelfverzekerdheid werkt tegen ons als we gehaast zijn of op de telefoon multitasken. Een klein scherm, meldingen en tijdsdruk maken fouten waarschijnlijker. Juist dan wint het gevoel van urgentie van kritisch denken.
Phishing is het vissen naar persoonlijke gegevens via misleidende berichten, vaak met urgentie of autoriteit als drukmiddel.
Oplichters spelen in op voorspelbaar gedrag. Ze gebruiken vaste trucs: tijdsdruk, beloften van korting of een dreiging met afsluiten. Dit heet social engineering: het manipuleren van mensen in plaats van systemen. AI-systemen versterken dit door teksten en scenario’s te testen en snel te verbeteren.
Training helpt, maar raakt soms sleur. Medewerkers klikken door e-learnings heen zonder dat gedrag echt verandert. Thuiswerken en privételefoons vervagen grenzen tussen werk en privé. Daardoor komen persoonlijke en zakelijke risico’s bij elkaar op één apparaat.
Banken scherpen controles aan
Nederlandse banken zoals ING, Rabobank en ABN AMRO zetten machinelearning in om verdachte betalingen te herkennen. Machinelearning is een vorm van AI die patronen leert uit data. Het systeem ziet afwijkingen in bedrag, tijdstip of rekening en kan tijdelijk blokkeren. Dat voorkomt veel schade, maar nooit alles.
De IBAN-Naam Check van SurePay helpt bij het herkennen van een verkeerde ontvanger. Extra bevestigingen en duidelijke waarschuwingen in apps verlagen het risico op ‘meekijk’- en ‘vriend-in-nood’-fraude. Deze maatregelen geven wrijving, maar die paar seconden vertraging voorkomen dure fouten. Betaalvereniging Nederland ondersteunt banken met gezamenlijke afspraken en voorlichting.
Detectie kent grenzen en bijwerkingen. Criminelen passen hun tactiek telkens aan, dus modellen lopen even achter. Te strenge filters kunnen legitieme betalingen tegenhouden. Onder de AVG horen banken dataminimalisatie en versleuteling te waarborgen, zodat bescherming niet ten koste gaat van privacy.
Europese AI-verordening stuurt aanpak
De AI-verordening van de EU legt op het moment van schrijven nieuwe plichten op aan aanbieders en gebruikers van AI. Generatieve modellen krijgen extra transparantie-eisen, zoals duidelijke informatie over risico’s en herkomst van data. Deepfakes moeten herkenbaar zijn als bewerkt, bijvoorbeeld met labels of watermerken. Dat helpt burgers en platforms om misleiding sneller te zien.
De AVG blijft leidend bij alle gegevensverwerking rond fraudedetectie. Organisaties hebben een rechtmatige grondslag nodig en moeten niet meer data verzamelen dan noodzakelijk. Beveiliging met versleuteling en strikte toegangsrechten is verplicht. De Autoriteit Persoonsgegevens ziet daarop toe en kan bij overtreding boetes opleggen.
NIS2, de Europese richtlijn voor netwerk- en informatiebeveiliging, trekt de eisen voor vitale sectoren verder aan. Banken, telecom en overheid moeten incidenten sneller melden en risico’s aantoonbaar beheersen. In Nederland ondersteunen DNB en het Nationaal Cyber Security Centrum organisaties met richtlijnen. De uitwerking in nationale regels is op het moment van schrijven in volle gang.
Wat burgers nu kunnen doen
Neem even afstand bij elk betaalverzoek, zeker bij haast. Check het webadres in de browser en ga zelf naar de website of app van de bank. Deel nooit codes of inloglinks via telefoon of chat, ook niet met “medewerkers”. Bel desnoods zelf met het officiële nummer van de organisatie.
Schakel extra beveiliging in, zoals tweestapsverificatie voor e-mail en cloud. Gebruik waar mogelijk passkeys; dat zijn aanmeldingen met een vingerafdruk of pincode op je apparaat in plaats van een wachtwoord. Werk telefoon en apps bij zodat bekende gaten zijn gedicht. Bewaar belangrijke meldingen en screenshots voor bewijs.
Twijfel je? Stop de betaling en vraag hulp. Neem direct contact op met je bank, meld het bij de Fraudehelpdesk en doe aangifte bij de politie. Meld verdachte berichten ook bij de aanbieder, zoals WhatsApp of je e-mailprovider. Zo help je anderen én vergroot je de kans op verhaal.
