AI-phishing en deepfakes overtreffen bedrijfsbeveiliging in onderzoek 2025

AI-phishing en deepfakes overtreffen bedrijfsbeveiliging in onderzoek 2025

Een nieuw onderzoek onder 3.500 bedrijfsleiders schetst een tegenstrijdig beeld van bedrijfscyberbeveiliging: 82% van de respondenten voelt zich voorbereid op moderne dreigingen, terwijl door AI aangedreven aanvallen — waaronder stemklonen, deepfake-beelden en door AI gegenereerde phishing — sneller evolueren dan de organisaties die ze moeten tegenhouden. De kloof tussen vermeende paraatheid en werkelijke blootstelling is precies waar aanvallers gedijen, en individuen raken steeds vaker in de vuurlinie.

Voor gewone gebruikers zijn de onderzoeksresultaten een praktische waarschuwing. Wanneer beveiliging op bedrijfsniveau moeite heeft om AI-phishing en op deepfakes gebaseerde social engineering bij te houden, worden individuen die gebruikmaken van persoonlijke apparaten, thuisnetwerken en consumenten-e-mailaccounts geconfronteerd met dezelfde dreigingen, maar met aanzienlijk minder bescherming.

Hoe door AI gegenereerde phishing en stemklonen werken tegen alledaagse gebruikers

Traditionele phishing vertrouwde op duidelijke signalen: grammaticafouten, verdachte afzenderadressen en generieke begroetingen. Door AI gegenereerde phishing elimineert de meeste van die aanwijzingen. Met behulp van grote taalmodellen kunnen aanvallers nu sterk gepersonaliseerde berichten opstellen die verwijzen naar echte details over een doelwit — hun werkgever, recente aankopen of openbaar zichtbare activiteit — allemaal automatisch verzameld en samengesteld.

Stemklonen voegt een extra laag toe. Met slechts een paar seconden audio kunnen commercieel beschikbare tools iemands stem zo overtuigend nabootsen dat familieleden, collega's of financiële instellingen erdoor worden misleid. Een nep-telefoontje van iemand die klinkt als een bedrijfsdirecteur en een medewerker vraagt geld over te maken, of een gekloonde stem van een familielid dat beweert in nood te verkeren, vertegenwoordigt een social engineering-mogelijkheid die geen spamfilter of e-mailscanner kan onderscheppen.

Diep overtuigende video-deepfakes volgen dezelfde logica. Ze worden gebruikt om gezagsfiguren na te bootsen tijdens videogesprekken, bewijs te fabriceren van gebeurtenissen die nooit hebben plaatsgevonden, en doelwitten te manipuleren tot het vrijgeven van inloggegevens of het verlenen van toegang. Samen vertegenwoordigen deze technieken een verschuiving van opportunistische phishing naar precisiegerichte diefstal van inloggegevens.

Waarom traditionele beveiligingstools moeite hebben om door AI aangedreven social engineering te stoppen

De meeste beveiligingstools voor bedrijven zijn ontworpen rond een ander dreigingsmodel: kwaadaardige bestanden, gecompromitteerde URL's en netwerkinbraken. Door AI aangedreven social engineering omzeilt alle drie. Er is geen malware-bijlage om te markeren, geen verdacht domein om te blokkeren en geen netwerkanomalie om te detecteren. De aanval bevindt zich volledig in de menselijke perceptie.

Dit is de kernreden waarom bedrijfsbeveiliging moeite heeft, zelfs wanneer beveiligingsbudgetten aanzienlijk zijn. Bewustwordingstraining over beveiliging leert medewerkers te zoeken naar de traditionele waarschuwingssignalen die door AI gegenereerde aanvallen nu betrouwbaar vermijden. Zelfs technische maatregelen zoals meervoudige authenticatie — hoewel nog steeds waardevol — kunnen worden omzeild wanneer een doelwit wordt misleid tot het overhandigen van een eenmalige code tijdens een stemkloongesprek.

Het concept van "shadow AI" vergroot dit probleem verder. Medewerkers die ongeautoriseerde AI-tools gebruiken binnen bedrijfsomgevingen creëren gegevensblootstellingsrisico's die beveiligingsteams vaak niet kunnen monitoren of beheersen. Gevoelige documenten die worden ingevoerd in persoonlijke AI-assistenten kunnen bijvoorbeeld onbedoeld de datasets opbouwen die gerichte phishing overtuigender maken.

Begrijpen hoe AI al wordt gebruikt om individuen te profileren en te targeten is een cruciaal startpunt. De gids AI-gestuurde surveillance: wat u moet weten in 2026 biedt belangrijke context over hoe het aggregeren van persoonlijke gegevens het soort precisietargeting mogelijk maakt dat deze aanvallen zo effectief maakt.

Waar VPN's en encryptie passen in uw verdediging tegen diefstal van inloggegevens

VPN's en encryptie voorkomen niet dat een deepfake-video overtuigend is. Wat ze wel doen, is het aanvalsoppervlak verkleinen dat het targetingproces voedt, en uw inloggegevens beschermen als een aanval gedeeltelijk slaagt.

Aanvallen gericht op het stelen van inloggegevens beginnen vaak met passieve gegevensverzameling: het onderscheppen van onversleuteld verkeer op openbare of thuisnetwerken, het vastleggen van inlogsessies op onbeveiligde verbindingen, of het monitoren van surfgedrag om te identificeren welke diensten een doelwit gebruikt. Een VPN versleutelt het verkeer tussen uw apparaat en het bredere internet, waardoor de gemakkelijkste onderscheppingspunten uit die keten worden verwijderd.

Encryptie is ook belangrijk voor opgeslagen gegevens. Wachtwoordmanagers met sterke encryptie zorgen ervoor dat, zelfs als een phishing-aanval één inloggegevens vastlegt, dit niet leidt tot toegang tot alle diensten die u gebruikt. Gecombineerd met meervoudige authenticatie op accounts die dit ondersteunen, verhoogt versleutelde opslag van inloggegevens de kosten van een succesvolle aanval aanzienlijk.

Voor thuiswerkers die verbinding maken met bedrijfssystemen is VPN-gebruik nog directer relevant. Veel campagnes gericht op het stelen van inloggegevens richten zich op het moment van authenticatie, en een versleutelde tunnel maakt dat moment veel moeilijker te monitoren van buiten de verbinding.

Praktische stappen die privacybewuste gebruikers nu kunnen nemen

De onderzoeksresultaten suggereren dat wachten op organisaties om dit probleem van bovenaf op te lossen geen betrouwbare strategie is. Hier zijn concrete stappen die individuen kunnen nemen:

Controleer welke gegevens over u openbaar toegankelijk zijn. Door AI gegenereerde phishing put uit openbare bronnen: sociale-mediaprofielen, professionele directories en databases van datamakelaars. Het verkleinen van uw publieke voetafdruk beperkt het ruwe materiaal dat beschikbaar is voor gepersonaliseerde aanvallen. Controleer uw privacy-instellingen op sociale platforms en overweeg opt-outverzoeken in te dienen bij grote datamakelaarssites.

Wees sceptisch over onverwachte urgentie via welk kanaal dan ook. Stemkloon- en deepfake-aanvallen creëren bijna altijd tijdsdruk: een directeur die nu een overboeking nodig heeft, een familielid dat onmiddellijk hulp nodig heeft. Stel een persoonlijk verificatieprotocol in — zoals een terugbelnummer dat u al heeft opgeslagen — in plaats van het nummer of kanaal te vertrouwen dat het contact initieerde.

Gebruik een VPN op alle netwerken, niet alleen op openbare wifi. Thuisnetwerken worden steeds vaker aangevallen omdat thuiswerken ze heeft omgevormd tot een geloofwaardig toegangspunt tot bedrijfssystemen. Het consistent versleutelen van uw verkeer sluit een onderscheppingsvector die de meeste gebruikers openlaten.

Schakel phishing-resistente authenticatie in waar beschikbaar. Hardware-beveiligingssleutels en passkeys zijn aanzienlijk moeilijker te omzeilen via social engineering dan traditionele eenmalige codes, omdat ze geen waarde produceren die een aanvaller in real time kan doorsturen.

Blijf op de hoogte van hoe AI-profilering werkt. Hoe beter u begrijpt hoe uw digitaal gedrag wordt geaggregeerd en geanalyseerd, des te beter bent u uitgerust om te herkennen wanneer iets dat persoonlijk en urgent aanvoelt, algoritmisch kan zijn geconstrueerd. De gids over AI-gestuurde surveillance is een praktische bron om dat inzicht op te bouwen.

De onderzoeksgegevens uit 2025 zijn een herinnering dat de vertrouwenskloof in cyberbeveiliging niet alleen een bedrijfsprobleem is. Wanneer AI-phishing en deepfake-aanvallen sneller evolueren dan bedrijfsbeveiliging, moeten individuen actieve deelnemers zijn aan hun eigen beveiliging, in plaats van passieve begunstigden van systemen die — naar het bewijs — moeite hebben het tempo bij te houden. Het nu controleren van uw persoonlijke dreigingsblootstelling — voordat een overtuigend stemgesprek of een perfect geformuleerd bericht uw verdediging test — is de meest effectieve stap die u kunt zetten.