Deepfake: de volgende generatie phishing die je écht niet ziet aankomen

Geschreven door Lukas de Hamer

Phishingmails herkennen we inmiddels wel: verdachte links, rare spelfouten en afzenders die anders zijn dan verwacht. Maar wat als je gebeld wordt via video door je leidinggevende, die je vraagt om dringend bepaalde bedrijfsdata te delen? En wat als die video vervolgens niet echt blijkt? Met de komst van Sora 2, de nieuwste AI-tool voor het maken van hyperrealistische video's, wordt deepfake een reële bedreiging voor bedrijven. Lukas, commercieel expert en cybersecuritytrainer bij SatisfITeers, legt uit wat deepfake is, hoe je het kunt herkennen, en vooral: hoe je je ertegen kunt wapenen. 

Van spelfouten naar hyperrealisme 

Jaren geleden kon je phishingmails nog herkennen aan de tientallen spelfouten en rare zinnen. Inmiddels zijn die mails steeds professioneler geworden. En nu gaat het dus nog een stap verder. Met tools zoals Sora 2 kan iedereen video's maken die bijna niet van echt te onderscheiden zijn. Bewegingen van mensen zijn natuurlijk, gezichtsuitdrukkingen kloppen, en zelfs subtiele reflexen zoals oogbewegingen zien er realistisch uit. Dit opent helaas ook deuren voor oplichters om video's te maken waarin ze zich voordoen als leidinggevenden, collega's of zakenrelaties. 

Hoe kan een deepfake-aanval eruitzien? 

Stel je voor: Yolanda van de administratie krijgt een videogesprek van haar leidinggevende, Tim Jansen. Hij vraagt of ze de financiële jaarstukken kan mailen, omdat hij nu even niet op kantoor is. "Kun je ze naar mijn privémail sturen?" Het ziet eruit als haar baas, het klinkt als haar baas, het heeft zelfs dezelfde tics als haar baas. Ze denkt: "Oké, geen probleem." Pas achteraf blijkt dat het mailadres net iets anders was – Janssen met één extra ‘s’ – en dat de video helemaal niet echt was. 

Dit soort aanvallen zijn geen sciencefiction meer. Deepfake-technologie is toegankelijker geworden, en criminelen experimenteren er volop mee.  

De gouden regel: wees kritisch en verifieer altijd 

Oudere deepfake-video's kun je vaak nog wel herkennen aan dingen als lippen die niet synchroon lopen met de woorden of onnatuurlijk oogknipperen. Met Sora 2 zijn veel van deze tekortkomingen verbeterd, waardoor het veel moeilijker wordt om deepfakes visueel te herkennen. Daarom is het allerbelangrijkste dat je jezelf altijd de kritische vraag stelt: klopt dit?   

Een paar praktische tips: 

  • Let op afwijkend gedrag. Vraagt je leidinggevende plotseling om vertrouwelijke informatie via een ander kanaal dan normaal? Dat is verdacht. 

  • Denk na over de gevolgen. Gaat het om toegang tot systemen, financiële data, wachtwoorden of andere kritieke informatie? Neem altijd even de tijd om te controleren of het verzoek écht klopt. 

  • Verifieer via een andere route. Als je een belangrijk verzoek krijgt via video, bel dan even terug via het telefoonnummer dat je al kent, of stuur een berichtje via Teams of WhatsApp. Of – jawel – loop even langs het bureau van je collega of baas en vraag: "Heb je me zojuist gevideobeld?" 

Security-awareness: meer dan alleen techniek 

Technische beveiligingsmaatregelen zoals firewalls en antivirussoftware zijn onmisbaar, maar ze beschermen je niet tegen social engineering. Deepfake-aanvallen spelen in op menselijk gedrag: vertrouwen, haast en gehoorzaamheid. Daarom is security-awareness zo belangrijk. Medewerkers moeten weten hoe deze aanvallen werken en hoe ze erop moeten reageren. 

Bij SatisfITeers bieden we security-awarenesstraining aan die medewerkers leert om verdachte situaties te herkennen – of het nu gaat om phishingmails, verdachte telefoontjes of deepfake-video's. Door regelmatig te oefenen en medewerkers bewust te maken van de risico's, bouw je een menselijke firewall op die net zo belangrijk is als je technische beveiliging. 

De wereld verandert, je alertheid ook 

Deepfake-technologie ontwikkelt zich razendsnel. Wat vandaag nog herkenbaar is, kan morgen al onzichtbaar zijn. Daarom is het niet alleen zaak om je technische beveiliging op orde te hebben, maar ook om je medewerkers continu te trainen en bewust te maken van nieuwe bedreigingen. Want uiteindelijk is de zwakste schakel in je beveiliging meestal niet de techniek, maar de mens die op 'verzenden' drukt, zijn wachtwoord deelt of de jaarstukken mailt naar het verkeerde adres. 

Meer weten? 

Wil je weten hoe je jouw organisatie kunt beschermen tegen deepfake-aanvallen en andere vormen van social engineering? Neem gerust contact met ons op via lukas@benp.biz of bel naar 0118-613 220. We denken graag met je mee. 

Geen vraag, maar wel geïnspireerd? Volg onze LinkedIn-pagina of schrijf je in voor onze blogs

Lukas de Hamer
Volgende

Samen sterker: waarom Zeeuwse ICT-bedrijven meer kunnen bereiken door samenwerking