We zijn inmiddels volop in het tijdperk van AI beland en dat heeft ook verregaande gevolgen voor onze digitale veiligheid. Natuurlijk bestonden phishing, ransomware en datalekken al lang voor ChatGPT, maar de opkomst van AI verandert het speelveld wel ingrijpend.
AI maakt verschillende onderdelen van cybercriminaliteit sneller, goedkoper, overtuigender, omvangrijker en toegankelijker, en het is nog maar de vraag of we echt beseffen wat er op ons afkomt. Cybercriminelen worden (gelukkig maar) nog niet vervangen door AI. In plaats daarvan is AI vooral een verdraaid handig hulpje waardoor de drempel voor succesvolle cybercriminaliteit verlaagd wordt. Wie vroeger stuntelige phishingmails schreef in gebroken Nederlands kan nu dankzij AI in enkele seconden een geloofwaardige mail genereren die zomaar van je bank, werkgever of energieleverancier zou kunnen zijn. Ook bij allerlei technische zaken, zoals het begrijpen en aanpassen van code, kan AI misbruikt worden. Deepfakes en stemklonen kunnen dan weer ingezet worden om zich als een kennis van het slachtoffer voor te doen. Enkele jaren geleden leek het nog sciencefiction, nu is het de beangstigende realiteit. Cybersecuritybedrijven en politiediensten zien deze evolutie natuurlijk ook. In zijn Digital Defense Report 2025 wees Microsoft er al op dat aanvallers nieuwe technieken ontwikkelen rond meer AI-geautomatiseerde phishing en meerstapsaanvallen. Europol waarschuwde dan weer voor het feit dat AI georganiseerde misdaad schaalbaar maakt, onder meer via meertalige berichten, realistische imitaties en automatisering.
De meest zichtbare dreiging zit vandaag (nog) niet in volledig door AI geschreven supervirussen, wel in de enorme versnelling van social engineering. Dat is het zodanig misleiden en manipuleren van mensen zodat ze zelf de deur openzetten om bestolen te worden. Denk aan een werknemer die een valse factuur goedkeurt, een ouder die ingaat op een valse schoolmail, of iemand die via WhatsApp door een zogezegd familielid wordt gevraagd om dringend geld over te schrijven. Vroeger waren veel van die pogingen nog relatief makkelijk te herkennen. Een rare zinsbouw, een verkeerde aanspreking of een logo dat niet helemaal klopte, waren vaak weggevers. AI haalt veel van die signalen weg.
Een crimineel kan een phishingmail laten schrijven in perfect Nederlands en de toon zelfs aanpassen naargelang de mail zogezegd van je bank, telecomprovider of HR-afdeling komt. Vervolgens kunnen er ook nog varianten gemaakt worden voor verschillende doelgroepen en scenario’s: formeel voor een bedrijf, warm en bezorgd voor ouders, kort en dwingend om een gevoel van urgentie op te dringen. Zo’n aanvallen zijn dankzij AI een stuk geloofwaardiger en daarom meteen ook gevaarlijker geworden. Hier komt nog eens bij dat AI ook personalisatie makkelijker maakt. Informatie die online rondslingert, bijvoorbeeld via LinkedIn-profielen, sociale media of eerdere datalekken, kan automatisch worden verwerkt in overtuigende berichten. Een mail die bijvoorbeeld verwijst naar je echte functie, een recente conferentie of de naam van je manager voelt minder verdacht aan dan een generieke boodschap over “uw account”.
Nog verontrustender wordt het wanneer tekst niet meer het enige wapen is. Deepfakes en stemklonen geven phishing een menselijk gezicht, of beter: een menselijk masker. Een telefoontje van je ‘baas’ die vraagt om dringend een bepaalde betaling uit te voeren, een videogesprek waarin een collega lijkt te verschijnen, of een audiobericht van een familielid in paniek: het zijn scenario’s die niet langer vergezocht zijn. Het gevaar zit hem hier natuurlijk in de combinatie van de herkenbaarheid en de tijdsdruk. Mensen zijn tegenwoordig goed getraind om niet zomaar wachtwoorden prijs te geven, maar veel minder hebben we de reflex om te twijfelen aan een stem die vertrouwd in de oren klinkt. In een bedrijfscontext kan dat makkelijk leiden tot betaalfraude of het delen van gevoelige documenten.
Thuis gaat het vaak om meer klassieke oplichting, maar met een persoonlijkere laag. Wie de stem van zijn kind hoort, zal minder snel rationeel nadenken dan bij een anonieme sms. Natuurlijk zorgt AI er niet voor dat elke deepfake nu perfect is. Veel vervalsingen verraden zich nog door vreemde bewegingen, een vlakke intonatie of onnatuurlijke timing. Bovendien voelen veel mensen instinctmatig vaak wel dat er iets niet klopt. Desondanks worden deepfakes wel steeds geloofwaardiger en zelfs als dat niet zo was hebben cybercriminelen helemaal geen Hollywoodkwaliteit nodig om succes te oogsten. Vaak volstaat het net genoeg geloofwaardigheid te hebben om iemand enkele minuten te laten twijfelen.
Sneller schakelen
Net als social engineering wordt ook de ontwikkeling van malware sterk beïnvloed door AI. De gedachte van een AI die volledig zelfstandig een computervirus schrijft en daarmee de wereld platlegt, is voorlopig nog wat overdreven, maar AI kan het hele proces van malware wel versnellen. Een aanvaller kan AI bijvoorbeeld gebruiken om bestaande code aan te passen en zo bestaande malware heroriënteren voor een nieuw doelwit. Of dezelfde malware kan sneller aangepast worden om meteen op verschillende systemen tegelijk te werken. Ook kunnen broncodes, patches en andere technische documentatie door AI makkelijk doorspit worden, op zoek naar details die uitgebuit kunnen worden.
Het resultaat is dat cybercriminelen dankzij AI veel sneller kunnen schakelen. Kwetsbaarheden kunnen sneller ontdekt worden en malware kan sneller en breder ingezet worden voor een aanval. Bijgevolg moet er ook langs de kant van de verdediging sneller gehandeld worden. Zo krijg je een constant kat-en-muisspel waarbij vooral de druk op de verdedigende partij enorm is. Het is dan de vraag hoelang die verdediging stand kan houden als er constant op ingebeukt wordt.
De rode draad hier is dat AI cybercriminelen een stuk productiever maakt en dat begint al bij de voorbereiding. AI kan publieke informatie over een potentieel slachtoffer samenvatten, mogelijk interessante werknemers van een geviseerd bedrijf vinden, eerder gelekte wachtwoordlijsten efficiënter doorzoeken en meer. Natuurlijk moet de cybercrimineel wel nog enigszins weten waar hij mee bezig is. AI maakt niet plots van elke amateur een elitehacker, maar de gemiddelde aanvaller wordt er zoals gezegd wel productiever van. Dat zie je elders ook. Kantoormedewerkers kunnen dankzij AI immers ook sneller e-mails opstellen of rapporten samenvatten, dus het zou maar vreemd zijn mochten cybercriminelen er niet ook gewoon hun voordeel mee doen. En dat is dus het probleem, met name de schaalvergroting die dankzij AI ook voor cybercriminaliteit tot stand komt. Bovendien wordt het allemaal een stuk geloofwaardiger. Op die manier worden we niet geconfronteerd met af en toe eens een duidelijke phishingmail, maar wel met duizenden varianten die stuk voor stuk relatief geloofwaardig kunnen overkomen. En dat zijn dan alleen nog maar de phishingmails. In werkelijkheid vuren cybercriminelen vaak een gevarieerd arsenaal af, met naast phishingmails ook deepfakes, malware en meer, en dat op zo’n grote schaal dat het zo goed als gegarandeerd is dat ergens iemand er wel in zal trappen.
Er komt dus heel wat op ons af en eigenlijk is het al volop aan de gang. Een lichtpuntje is dat AI ook gebruikt kan worden om ons beter te verdedigen tegen cyberaanvallen. Bedrijven als Google en Microsoft zijn volop bezig om AI in te zetten voor het detecteren van kwetsbaarheden en op til zijnde cyberaanvallen. Op dat vlak worden ook al effectief successen geboekt, wat hoopgevend is. Toch blijft het een snelheidswedstrijd waarbij één partij een duidelijk voordeel heeft. Aanvallers kunnen immers gewoon gericht of willekeurig blijven schieten en het moet maar één keer raak zijn om succes te hebben. Verdedigers daarentegen moeten voortdurend aanvallen succesvol kunnen afwenden. Als de verdediging de bal laat vallen, kan dat grote gevolgen hebben. Voorts is AI niet meteen een meerwaarde wanneer de basisbeveiliging te wensen overlaat. Een bedrijf heeft weinig aan een verdedigende AI als het zijn servers niet up-to-date houdt of tweestapsverificatie ontbreekt. De fundamenten blijven dan ook belangrijk, van sterke wachtwoorden tot duidelijke procedures die gerespecteerd moeten worden. Ook gewone gebruikers moeten niet al hun vertrouwen in het mandje van AI leggen. De beste verdediging begint vaak bij gezond verstand. Laat je dat varen, dan kan je alleen maar hopen dat AI je alsnog uit de nood helpt.
Nieuwe realiteit
Uiteindelijk maakt AI de kwestie van digitale veiligheid vooral een stuk complexer. De grens tussen echt en vals wordt minder vanzelfsprekend. Mails en websites die er compleet legitiem uitzien zeggen niets over de betrouwbaarheid ervan en deepfakes hebben het potentieel om iedereen om de tuin te leiden. Daar zullen we onze gewoontes en reflexen op moeten aanpassen, zowel thuis als op het werk. Belangrijk is voorts om te beseffen dat het allemaal nu al aan het gebeuren is. AI-gedreven cybercriminaliteit is geen probleem voor later, wel een nieuwe realiteit die er nu al is en nog in zijn kinderschoenen staat. Dat betekent dat wat er nu al is slechts een peulschil is van wat nog komt. De bouwstenen zijn er al, van taalmodellen, beeldgeneratoren en stemklonen tot automatiseringen en een enorme hoeveelheid gelekte data, en cybercriminelen zullen er alleen maar beter in worden om al die dingen slimmer in te zetten en slachtoffers te maken. Met die nieuwe realiteit, waarin misleiding makkelijker, goedkoper, sneller en persoonlijker dan ooit te produceren is, zullen we dus moeten leren leven. Het is geen duiveltje dat we terug het doosje in krijgen. Dat betekent niet dat we overal paranoïde voor moeten worden, wel dat we moeten beseffen dat vertrouwen niet vanzelfsprekend is. Echt en vals dragen steeds vaker dezelfde jas en het is enkel met gezond verstand en de juiste reflexen, al dan niet zelf ondersteund door AI, dat we kunnen achterhalen wat ergens echt achter schuilgaat, en dan nog.