Deepfakes ondermijnen wat we zien, horen en geloven.
AI breekt door de laatste technische barrières heen – en omzeilt zelfs AI.
Security awareness moet ook slimmer, sneller en persoonlijker worden.
Sinds de opmars van AI-tools als ChatGPT en DeepSeek is het cyberdreigingslandschap drastisch veranderd. Wat begon als een revolutie in productiviteit, is inmiddels een goudmijn voor cybercriminelen. Dankzij AI kunnen ze aanvallen geloofwaardiger, schaalbaarder én moeilijker te detecteren maken. “De kwaliteit én kwantiteit van social engineering-aanvallen is explosief gestegen”, zegt Martin Kraemer, security awareness advocate bij KnowBe4.
De klassieke aanwijzingen voor phishing – kromme zinnen, vreemde afzenders, slechte opmaak – behoren tot het verleden. E-mails zijn nu perfect in taal, toon en context. “Ik sprak laatst iemand uit Qatar: ook daar ontvangen mensen phishingmails in foutloos Arabisch”, aldus Kraemer. “Wat je taal of sector ook is, AI past zich moeiteloos aan.”
Slimme misleiding
De technologie achter deze verbeterde aanvallen is indrukwekkend. Fraudeurs gebruiken AI-tools niet alleen om de inhoud van berichten te perfectioneren. “Cybercriminelen gebruiken verschillende technieken om e-mailfilters te omzeilen”, legt Kraemer uit. “Bijvoorbeeld door polymorfisme toe te passen – kleine aanpassingen in onderwerpregel of inhoud die traditionele filters misleiden doordat ze net afwijken van bekende patronen.”
De uitdaging voor beveiligingsexperts wordt nog groter door het feit dat zelfs AI-gebaseerde detectiesystemen worden misleid. “Cybercriminelen voegen onzichtbare tekens toe aan e-mails om de algoritmes te verstoren die ontworpen zijn om verdachte tekst te detecteren”, aldus Kraemer. “Het is een voortdurende wapenwedloop tussen aanvallers en verdedigers.”
Deepfakes: de ultieme vertrouwensbreuk
Maar het echte gevaar schuilt in een nieuwe generatie aanvallen: deepfakes. Deze technologie maakt het mogelijk om stemmen en zelfs video’s bijna perfect na te bootsen. Het Britse ingenieursbureau Arup verloor vorig jaar 25 miljoen dollar na een geraffineerde deepfake-aanval waarbij fraudeurs zich in een videogesprek voordeden als bedrijfsleiders.
De effectiviteit van deze aanvallen is gebaseerd op menselijke psychologie. “We kennen van nature een hoger vertrouwensniveau toe aan beeld en geluid. Het zien van iemands gezicht en het horen van een stem maakt de ervaring persoonlijker en geloofwaardiger”, zegt Kraemer. “En omdat we zo gewend zijn aan videogesprekken met technische storingen – bevriezende beelden, pixelvorming, vertragingen – kunnen aanvallers deze verwachtingen perfect uitbuiten.”
Biometrische beveiliging onder druk
De opkomst van deze technologieën brengt vooral risico’s met zich mee voor organisaties die vertrouwen op biometrische authenticatie. “Financiële instellingen en andere organisaties die zwaar leunen op biometrische authenticatie moeten extra voorzichtig zijn”, waarschuwt Kraemer. “Het is nu mogelijk om met minimaal beeld- of fotomateriaal een deepfake van een persoon te maken die vervolgens kan worden gebruikt om verificatiesystemen te misleiden.”
Onzichtbare dreiging
De hedendaagse AI-dreigingen vereisen een fundamenteel andere benadering van cybersecurity. “Nu de technologische herkenningspunten van phishing verdwijnen, moeten we terug naar de basis”, legt Kraemer uit. “Medewerkers kunnen niet langer vertrouwen op voor de hand liggende triggers zoals grammaticale fouten of vreemde e-mailadressen.” In plaats daarvan moeten zij leren herkennen wanneer ze gemanipuleerd worden.
“De dreiging zit dan niet meer in wat je ziet, maar in wat je denkt”, aldus Kraemer. “Mensen moeten daarom niet alleen alert zijn op inhoud, maar ook leren aanvoelen wanneer iets te mooi, te dringend of te gesloten voelt. Dát is het nieuwe verdedigingsmechanisme.”
Drieledige verdediging
Om organisaties te beschermen tegen deze nieuwe generatie AI-gestuurde aanvallen is een geïntegreerde benadering noodzakelijk. Kraemer adviseert Nederlandse organisaties een strategie op te bouwen uit drie elkaar versterkende lagen:
Laag 1 – Technologie
“Het begint met de juiste technologie”, benadrukt Kraemer. “Implementeer geavanceerde e-mailbeveiliging met AI-detectiemogelijkheden, en investeer in deepfake-detectietools voor zowel videoconferenties als telefoongesprekken. De technologie vormt je eerste verdedigingslinie.”
Laag 2 – Beleid en processen
“Je hebt duidelijk beleid nodig dat voorschrijft hoe medewerkers moeten handelen bij verdachte interacties”, vervolgt hij. “Definieer de processen voor incidentmelding, leg responsprocedures vast, en zorg dat iedereen weet welke stappen te volgen.”
Laag 3 – Menselijke intelligentie
“Train medewerkers om hun emotionele intelligentie te gebruiken bij het herkennen van manipulatie”, adviseert Kraemer. “Leer ze verificatietechnieken zoals het stellen van onverwachte vragen via een tweede communicatiekanaal.” Deepfake-software heeft ook nog moeite met bepaalde bewegingen. “Vraag de persoon bijvoorbeeld om een hand voor het gezicht te bewegen of maak een opmerking die een emotionele reactie zou moeten uitlokken.”
De kracht zit uiteindelijk in de combinatie van deze lagen. “Effectieve cybersecurity vereist dat technologie, processen en mensen in harmonie samenwerken om verdediging op verschillende niveaus te bieden.”
Wapenwedloop duurt voort
Verdedigers zetten zelf ook AI in om deze strijd het hoofd te bieden. KnowBe4 gebruikt bijvoorbeeld agentic AI in security awareness training om programma’s automatisch af te stemmen op functie, cultuur, gedrag en risicoprofiel van medewerkers. “Een medewerker die net is gezakt voor een phishingtest krijgt andere content dan iemand die een incident juist correct heeft gemeld”, zegt Kraemer. “De training wordt relevanter én effectiever.”
Hoewel de huidige generatie AI-gestuurde aanvallen al indrukwekkend is, verwacht Kraemer dat dit slechts het begin is. “We staan aan de vooravond van een zeer geavanceerde golf van cyberaanvallen, met toenemende kwaliteit en kwantiteit”, voorspelt hij. “Cybercriminelen zullen ook agentic AI gaan inzetten.”
Maar er is ook goed nieuws. Kraemer gelooft dat verdedigers de overhand kunnen behouden, mits ze samenwerken en gebruik maken van schaalvoordelen. “Organisaties hebben toegang tot grote dienstverleners met complexe AI-modellen en gedeelde threat intelligence”, stelt hij. “Voor cybercriminelen zijn deze resources vaak niet beschikbaar.”
Uiteindelijk is het een wedloop waarin waakzame organisaties nog steeds de beste kaarten hebben. Tenminste, als ze bereid zijn te investeren in alle drie de verdedigingslagen: technologie, processen én mensen.
KnowBe4 helpt werknemers dagelijks slimmere beveiligingsbeslissingen te nemen en versterkt wereldwijd de beveiligingscultuur van meer dan 70.000 organisaties. Met een uitgebreid, AI-gedreven ‘platform voor Human Risk Management (HRM) biedt KnowBe4 een adaptieve verdedigingslaag die gebruikers beschermt tegen moderne cyberdreigingen. Als het enige wereldwijde platform in zijn soort zet KnowBe4 gepersonaliseerde content, tools en technieken in om werknemers te transformeren van het grootste risico tot de grootste troef van een organisatie. Bezoek de website voor meer informatie.