Herinner je je de klassieke phishing-mail nog? Een warrig verhaal van een ‘bankdirecteur’ uit een ver land, vol taalfouten, vreemde zinsconstructies en een pixelig logo dat duidelijk van Google Afbeeldingen was geplukt. Het was vervelend, maar voor een oplettende medewerker vrij eenvoudig te spotten.
Die tijd is definitief voorbij.
Terwijl organisaties druk bezig zijn met de technische implementatie van de NIS2-richtlijn, heeft de tegenpartij niet stilgezeten. Met de opkomst van Generatieve AI (GenAI) en geavanceerde voice cloning hebben cybercriminelen hun tactieken drastisch gemoderniseerd. De aanvallen van vandaag zijn foutloos, hyper-persoonlijk en beangstigend overtuigend.
Voor security officers en CISO’s brengt dit een ongemakkelijke waarheid aan het licht: Als jouw awareness-programma medewerkers nog steeds leert te zoeken naar spelfouten, is je organisatie in 2025 feitelijk onbeschermd.
In dit artikel duiken we diep in de nieuwe generatie AI-aanvallen, analyseren we waarom dit een direct risico vormt voor je NIS2-zorgplicht, en bespreken we hoe je jouw menselijke verdedigingslinie moderniseert.
De Evolutie: Van Hagelschot naar Sluipschutter
Vroeger schoten hackers met hagel: ze stuurden miljoenen mails in de hoop dat één persoon klikte. Vandaag de dag gebruiken ze AI als een precisiewapen.
1. Het einde van de taalbarrière
Tools zoals ChatGPT en andere Large Language Models (LLM’s) stellen criminelen in staat om perfect zakelijk Nederlands (of Engels, Duits, Frans) te schrijven. De toon is professioneel, de grammatica is foutloos en de context klopt. De “Red Flag” van slecht taalgebruik – jarenlang de hoeksteen van phishing-trainingen – is hiermee effectief onschadelijk gemaakt.
2. Hyper-contextuele Spear Phishing
Stel je voor: je HR-manager ontvangt een sollicitatie. De mail refereert aan een specifiek event waar jullie bedrijf vorige week stond (gevonden via LinkedIn) en complimenteert een recente blogpost van de CEO. De bijlage lijkt een CV, maar bevat malware.
Doordat AI razendsnel openbare data kan scrapen en analyseren, kunnen aanvallers mails genereren die zo specifiek en relevant zijn, dat zelfs de meest paranoïde medewerker geneigd is ze te vertrouwen.
Het Nieuwe Gevaar: CEO-Fraude 2.0 en Deepfakes
De grootste dreiging voor het komende jaar is echter niet tekst, maar audiovisuele manipulatie.
- Voice Cloning: Het kopiëren van iemands stem vereiste vroeger uren aan audiomateriaal. Nu is een fragment van 3 seconden – bijvoorbeeld uit een YouTube-video of een voicemail – genoeg.
Scenario: Een medewerker op de financiële administratie wordt gebeld. Hij hoort de stem van de CFO. De intonatie, het tempo, zelfs dat specifieke kuchje: alles klopt. De “CFO” vraagt om met spoed een betaling goed te keuren voor een vertrouwelijke overname. Omdat de stem vertrouwd klinkt, schakelt het kritische denkvermogen van de medewerker uit.
- Video Deepfakes: In Hong Kong werd begin 2024 een multinational opgelicht voor 25 miljoen dollar. De medewerker zat in een videocall met wat hij dacht dat de CFO en andere collega’s waren. In werkelijkheid waren alle andere deelnemers aan de call AI-gegenereerde deepfakes. Dit is geen toekomstmuziek; dit is de realiteit van vandaag.
De Link met NIS2 en de Zorgplicht
Veel organisaties zien NIS2 (en de aankomende Cyberbeveiligingswet) vooral als een technische checklist: netwerksegmentatie, encryptie, MFA. Maar de wet spreekt expliciet over de Zorgplicht.
Artikel 21 van de NIS2-richtlijn verplicht essentiële en belangrijke entiteiten om “passende en evenredige technische, operationele en organisatorische maatregelen” te nemen.
Hier wringt de schoen. Als de dreiging evolueert naar AI-gestuurde aanvallen, maar jouw organisatorische maatregel (de training van personeel) blijft hangen in 2015, voldoe je dan aan je zorgplicht?
Het antwoord is waarschijnlijk ‘nee’. Een training die niet ingaat op deepfakes en AI-manipulatie is per definitie niet meer “passend” in het huidige dreigingslandschap. Compliance is geen statisch vinkje; het vereist dat je meebeweegt met de realiteit.
Hoe wapen je jouw organisatie tegen AI?
Technologie alleen gaat je niet redden. Spamfilters en EDR-oplossingen hebben moeite met AI-phishing omdat de mails vaak geen kwaadaardige payload bevatten (maar sturen op sociale manipulatie) en afkomstig zijn van (gehackte) legitieme accounts. De oplossing ligt, zoals altijd, bij de mens.
Zo maak je jouw ‘menselijke firewall’ AI-proof:
1. Verander de mindset: Focus op Emotie en Urgentie
Leer medewerkers dat de inhoud en vorm van een bericht niet meer te vertrouwen zijn. In plaats van op taalfouten, moeten ze leren letten op psychologische triggers:
- Wordt er druk uitgeoefend? (“Dit moet nu betaald worden”)
- Wordt er ingespeeld op angst of juist op nieuwsgierigheid?
- Wordt er gevraagd om buiten de standaard procedures te werken?
2. Implementeer ‘Out-of-Band’ Verificatie
Dit is de gouden regel tegen voice cloning en deepfakes. Word je gebeld met een verzoek om geld of data? Hang op. Bel de persoon terug via een intern bekend nummer of loop even langs hun bureau. Vertrouw nooit het kanaal dat contact met jou opneemt.
3. Fysieke ‘Safe Words’
Voor kritieke processen (zoals betalingen boven een bepaald bedrag) kan het verstandig zijn om een analoog ‘wachtwoord’ af te spreken dat nooit digitaal wordt gedeeld. Zelfs als de stem van de CEO perfect klinkt, als hij het codewoord niet weet, is het foute boel.
4. Train met realistische simulaties
Stop met het versturen van overduidelijke nep-mails. Gebruik in je simulaties de technieken die hackers ook gebruiken. Gebruik AI om overtuigende phishing-mails te genereren voor je trainingen. Laat medewerkers veilig falen in een simulatie, zodat ze scherp zijn wanneer het er echt toe doet.
Conclusie
De intrede van AI in cybercrime is geen reden tot paniek, maar wel een dringende wake-up call. De grens tussen echt en nep vervaagt in hoog tempo. Dit vraagt om een scherpere blik, strakkere procedures en vooral: een modernere aanpak van security awareness.
Alleen door je medewerkers continu te confronteren met de huidige realiteit van cyberdreigingen, kun je de risico’s beheersbaar houden en daadwerkelijk voldoen aan de geest van de NIS2-wetgeving.
Benieuwd hoe weerbaar jouw organisatie is tegen de nieuwste generatie aanvallen?
Wacht niet tot het misgaat. Neem vandaag nog contact op met StackAware voor een vrijblijvend adviesgesprek of een demo van ons vernieuwde awareness-platform. Samen zorgen we dat jouw menselijke firewall net zo geavanceerd is als de technologie van de aanvaller.