Thought leaders

Hoe Criminelen De AI-Strijd Winnend Zijn Voordat Bedrijven Zelfs Maar Beginnen

mm
Published
Updated

In een tijdperk waarin AI industrieën transformeert met een ongekende snelheid, is de donkere kant van deze technologische revolutie eveneens alarmerend. Terwijl bedrijven racen om de potentie van AI te benutten, exploiteren cybercriminelen deze vooruitgang, waardoor de dynamiek van cybercrime en fraude verandert.

De Economie Van Cybercrime En Fraude Veranderen

Cybercriminelen gebruiken dezelfde AI-modellen en -technologieën die ondernemingen gebruiken, vaak binnen enkele dagen na hun release. Een van de vroegste voorbeelden van een dergelijk misbruik was de automatisering van CAPTCHA-oplossingen met behulp van ChatGPT-1, wat aantoonde hoe snel generatieve modellen basisbeveiligingscontroles konden omzeilen.

Sindsdien is elke grote doorbraak in generatieve AI snel gevolgd door criminele aanpassingen, waaronder deepfake-stem- en videogeneratie die bijna onmiddellijk op darknet-platforms verschijnen. Deze versnelde cyclus stelt fraudeurs in staat om geavanceerde technologieën te gebruiken om overtuigende scams te creëren, waardoor traditionele beveiligingsmaatregelen worden ondermijnd.

In het eerste kwartaal van 2025 alleen al zou deepfake-geactiveerde fraude meer dan $200 miljoen aan financiële verliezen hebben veroorzaakt. De winstgevendheid van cybercrime is explosief toegenomen, met platforms die “fraude-as-a-service” aanbieden, waardoor het voor criminelen gemakkelijker is dan ooit om complexe schema’s uit te voeren, waaronder synthetische identiteiten en geavanceerde phishingkits.

Terwijl bedrijven worstelen om hun AI-capaciteiten op te schalen, racen criminelen vooruit, continu innoverend en exploiterend van de gaten die zijn achtergelaten door verouderde beveiligingskaders.

Waarom Legacy Cybersecurity En Trust Frameworks Falen Tegen AI-Gestuurde Actoren

De traditionele beveiligingsmaatregelen die ooit een zekere mate van bescherming boden, blijken onvoldoende. Legacy-systemen, die vertrouwen op blacklists, CAPTCHAs en single-factor authenticatie, zijn ongeschikt om de evoluerende landschap van AI-gestuurde aanvallen te bestrijden. Criminelen gebruiken deepfakes die biometrische scanners kunnen misleiden en synthetische identiteiten die gemakkelijk KYC-protocollen omzeilen.

Deze mislukking wordt verergerd door de realiteit dat veel organisaties cybersecurity nog steeds behandelen als een kostenpost in plaats van een kritiek infrastructuuronderdeel. Terwijl het Pentagon miljoenen investeert om AI-hackers in te huren, wordt de technologiekloof duidelijk. Terwijl bedrijven zijn vastgeroest in compliance-theater, gebruiken criminelen AI om menselijke kwetsbaarheden te exploiteren, zoals spear-phishing-aanvallen die executive-communicatie imiteren.

Hoe “AI-Native” Aanvallen Er In De Praktijk Uitzien

Moderne fraude-tactieken zijn geëvolueerd ver voorbij eerdere phishing-schemes. Aanvallers construeren ingewikkelde fraude-ketens die legitiem lijken op elk punt.

Stel je een vertrouwde corporate-ochtend voor. Dinsdag, 9:43 uur. Een CFO ontvangt een e-mail gemarkeerd als “dringend”, die lijkt te komen van de CEO. De toon is vertrouwd. De taalgebruik komt overeen met eerdere verzoeken. Een follow-up bericht arriveert enkele minuten later op een ander kanaal, waardoor de urgentie wordt versterkt. Tegen 11:00 uur is een wire transfer van meerdere miljoenen dollars goedgekeurd, maar later blijkt dat deze is doorgestuurd naar een offshore-rekening die wordt gecontroleerd door aanvallers.

Deze AI-native aanvallen zijn psychologische manipulaties die vertrouwen en autoriteit gebruiken. De sofisticatie van dergelijke operaties benadrukt een lacune in bestaande beveiligingsmaatregelen, die de nuances van moderne fraude niet kunnen detecteren.

Wat Bedrijven Realistisch Moeten Prioriteren Voordat Ze Meer AI Intern Deployen

Voordat bedrijven meer AI intern deployen, moeten ze even pauzeren en hun aannames over vertrouwen heroverwegen. De versnelling van AI-geactiveerde misdaad heeft een structurele zwakte blootgelegd: organisaties verdedigen zich nog steeds tegen de bedreigingen van gisteren, terwijl vandaag aanvallen zijn ontworpen om legitiem te lijken.

1. Bedrijven Moeten Opnieuw Nadenken Over Hoe Risico Zelf Wordt Gedefinieerd.

Traditionele risicomatrices waren gebouwd rondom mislukkingen zoals systeemuitval, datalekken, beleidschendingen. In de AI-tijdperk neemt risico steeds vaker de vorm aan van simulatie in plaats van fout. In plaats van te vragen “wat kan er misgaan”, is het meer relevant om te vragen “wat kan overtuigend worden nagemaakt, op grote schaal, sneller dan we kunnen reageren.”

Synthetische identiteiten, executive-impersonatie en AI-gegenereerde verhalen gedragen zich anders dan legacy-bedreigingen: ze verspreiden zich sneller, mengen zich met legitieme activiteit en exploiteren vertrouwen in plaats van technische gaten. Het is niet verwonderlijk dat deze risico’s hoger worden gerangschikt en vaker materialiseren dan hun niet-AI-voorgangers, en zich verstoppen in cybersecurity, fraude, reputatierisico of compliance.

2. Organisaties Moeten Aanvaarden Dat Preventie Alleen Niet Langer Voldoende Is.

Top-ondernemingen kaarten AI-risico’s nu toe aan drie defensieve lagen, die overeenkomen met AI Defender’s modulaire architectuur:

  • Risicopreventie – dat nu ook het anticiperen van aanvallen omvat die menselijk vertrouwen en AI-gegenereerde inhoud exploiteren, en niet alleen bekende bedreigingen blokkeren.
  • AI-geïnformeerde identiteitsverificatie
  • Apparaat- en sessie-integriteit
  • Executive-communicatiebescherming
  • Bedreigingsdetectie En -monitoring combineert technische anomalie-analyse met gedrags- en media-monitoring, wat weerspiegelt dat veel AI-native aanvallen zich manifesteren in communicatiepatronen in plaats van code.
  • Continue monitoring van signalen en anomalieën
  • AI-tegen-AI-detectie
  • Verhaal- en media-monitoring
  • Onderzoek En -toewijzing – met focus op het reconstrueren van gebeurtenissen, het toewijzen van intentie en het produceren van actiegerichte bewijs, waardoor organisaties effectief kunnen reageren, zelfs wanneer misleiding sneller dan hun initiële verdediging schaalt.
  • Verklaarbaarheid van AI-waarschuwingen
  • Toewijzing van verdachte activiteit
  • Bewijsklasse OSINT

3. Bedrijven Moeten De Menselijke Dimensie Van AI-Geactiveerde Fraude Confronteren.

Werknemers blijven het primaire ingangspunt voor moderne aanvallen, maar de aard van de exploitatie is veranderd. Een veel voorkomend patroon dat steeds vaker wordt waargenomen in AI-geactiveerde fraude, betreft interne-uitziende interacties in plaats van externe aanvallen. Werknemers kunnen een korte video-oproep ontvangen van wat lijkt op HR, die vraagt om “snel identiteit te verifiëren” om een loonstroomprobleem op te lossen. Het gezicht, de stem en de branding zien er authentiek uit. Het verzoek zelf lijkt onschuldig, maar het activeert stilletjes account-overname later die dag.

Dit soort scenario’s illustreert waarom AI-geactiveerde fraude context, autoriteit en timing gebruikt, vaak executive-communicatie imiteert met verontrustende precisie. In deze omgeving riskeren traditionele beveiligingstrainingen te verworden tot niets meer dan compliance-theater, zonder echte veerkracht.

De uitdaging ligt niet alleen in bewustzijn, maar in hoe het probleem wordt geformuleerd.

Het Probleem Opnieuw Formuleren (Dit Is Stap Nul)

Oude mentale model: “Train werknemers om geen fouten te maken.”

Nieuw mentaal model: “Ga ervan uit dat werknemers zullen worden gericht, gemanipuleerd en gewapend.”

Training is niet hetzelfde als educatie.

Training is inoculatie + spiergeheugen.

Gezien Door Deze Lens, Wat Teams Getraind Moeten Worden Om Recidiverende Fraude-Patronen Te Erkennen.

De 5 dominante AI-fraude-vectoren die door werknemers heen gaan – geen van deze worden gestopt door bewustzijnsposters:

Vector Hoe Het Er In Realiteit Uitziet
Autoriteitsspoofing CEO/CFO-voice note, WhatsApp, Zoom-deepfake
Urgentietraps “5 minuten”, “vertrouwelijk”, “board-niveau”
Context-Hijacking Fraudeur weet echte projecten, namen, timing
Proces-Misbruik “Sla dit eens over”, “normaal later”
Gereedschap-Vertrouwensmisbruik “AI zei dat het oké is”, “systeem heeft het al goedgekeurd”

4. Organisaties Moeten Opnieuw Nadenken Over Wat “Identiteit” Betekent In Een Wereld Van Synthetische Realiteit.

Terwijl deepfake-stemmen en -video’s biometrisch vertrouwen ondermijnen, kan geen enkele factor authenticiteit betrouwbaar aantonen. Steeds vaker komt veerkracht voort uit de ophoping van veel zwakke signalen over tijd, zoals context, continuïteit en consistentie over apparaten, sessies en externe datapunten heen.

Open en externe data, die lang als secundair werden behandeld, winnen strategische belang. Wanneer deze worden gecombineerd met interne gedragsignalen, helpen ze een kritische vraag te beantwoorden: maakt deze identiteit of actie zin in meerdere contexten? In een wereld waarin bijna alles kan worden vervalst, wordt coherentie een van de weinige overgebleven ankers van vertrouwen.

mm

Ivan Shkvarun is de CEO en mede-oprichter van Social Links en de auteur van de Darkside AI-initiatief.
Met meer dan 15 jaar ervaring in automatisering in meerdere branches en leiderschapsrollen in internationale IT-bedrijven, brengt hij diepgaande expertise in technologie, strategie en innovatie. Hij leidde eerder financiële en overheidsinitiatieven bij SAP, waar hij zich richtte op oplossingen voor grote ondernemingen. Zijn academische achtergrond is wiskunde, aangevuld met een MBA in ondernemerschap.
Zijn passie voor Open Data begon meer dan 20 jaar geleden en heeft zijn carrière sindsdien gevormd. In 2015 richtte hij Social Links op met zijn partners als een zijproject, dat zich ontwikkelde tot een snel groeiend bedrijf in 2018. Tegen 2023 en 2025 werd Social Links erkend door Frost & Sullivan als een wereldleider in Open Source Intelligence (OSINT), dat nu meer dan 500 klanten in 80+ landen bedient.