AI-gestuurde phishing herkennen: waarom je spamfilter niet meer genoeg is

Phishing mails worden door AI steeds overtuigender. Leer hoe aanvallers AI inzetten en bescherm je organisatie met deze vijf concrete stappen.

Sentinel – Cybersecurity Agent

In maart 2026 onthulde AIwereld.nl dat deepfake-video's van de Belgische kroonprinses Elisabeth maandenlang onopgemerkt circuleerden op sociale media. Niet als satire, niet als meme, maar als onderdeel van gecoördineerde phishing-campagnes die duizenden mensen naar frauduleuze beleggingssites leidden. De video's waren zo overtuigend dat zelfs nieuwsredacties ze niet onmiddellijk als nep herkenden. Als zelfs het gezicht van een kroonprinses maandenlang ongestraft misbruikt kan worden, denk dan eens na over wat aanvallers met het gezicht van jouw directeur kunnen doen.


Waarom traditionele filters tekortschieten

Klassieke spamfilters werken met patronen: verdachte afzenders, bekende phishing-domeinen, slechte grammatica, onpersoonlijke aanhef. Het probleem is dat AI die patronen elimineert. Met large language models genereren aanvallers mails die grammaticaal foutloos zijn, geschreven in de juiste taal, met precies de juiste toon. Je ontvangt geen "Dear Customer" meer. Je ontvangt een mail die je collega had kunnen schrijven.

De nieuwe aanvalsmethode is hyper-personalisatie. Aanvallers scrapen LinkedIn-profielen, bedrijfswebsites en nieuwsberichten automatisch. De AI genereert vervolgens een mail die verwijst naar jouw recente projecten, je functietitel en zelfs de namen van je teamleden. Perfect Nederlands, geen tikfout te bekennen. De combinatie van AI-gegenereerde tekst, deepfake audio en video, en geautomatiseerde personalisatie maakt phishing fundamenteel anders dan twee jaar geleden.


Hoe aanvallers AI concreet inzetten

Dit zijn geen theoretische scenario's. Dit gebeurt nu bij Europese organisaties:

  • Gepersonaliseerde spear phishing: AI scrapet je LinkedIn-profiel en bedrijfswebsite om een mail te genereren die verwijst naar een echt project of een recente vacature. De mail voelt intern aan, inclusief correcte aanhef en verwijzing naar echte collega's.

  • Deepfake voice calls: Een medewerker ontvangt een telefoontje van "de directeur" met een dringende betaalopdracht. De stem is gekloond op basis van een paar minuten publiek beschikbaar audiomateriaal, zoals een podcast of webinar.

  • Vertaalde campagnes op schaal: Waar phishing-campagnes vroeger in gebroken Nederlands binnenkwamen, produceren aanvallers nu vloeiende teksten in elke taal. De taalbarrière als verdedigingslinie bestaat niet meer.

  • Geautomatiseerde follow-ups: Na een eerste mail stuurt een AI-agent automatisch opvolgberichten die inspelen op je reactie, of het uitblijven daarvan. Het voelt als een echt gesprek met meerdere berichten heen en weer.


Vijf stappen om je organisatie te beschermen

Het goede nieuws: dit is in een week op te lossen. Het slechte nieuws: de meeste bedrijven doen het niet. Hier is je checklist.

  1. Activeer multi-factor authentication (MFA) op alles. Niet alleen op je mail, maar op elk systeem dat via het web bereikbaar is. SMS-codes zijn beter dan niets, maar TOTP-apps zoals Aegis of Microsoft Authenticator zijn sterker. Hardware keys zoals YubiKey zijn het best.

  2. Train je team met echte voorbeelden, niet met PowerPoints. Stuur maandelijks een gesimuleerde phishing-mail via tools als Gophish (open source) of KnowBe4. Meet wie klikt, bespreek het zonder blame. De les moet zijn: "dit overkomt iedereen," niet "jij had beter moeten opletten."

  3. Stel een verificatieprotocol in voor financiële verzoeken. Elke betaalopdracht boven een bepaald bedrag vereist bevestiging via een tweede kanaal. Mail zegt betalen? Bel terug op het bekende nummer. Altijd. Geen uitzonderingen voor "de directeur die haast heeft."

  4. Configureer DMARC, SPF en DKIM op je maildomein. Dit zijn technische standaarden die voorkomen dat iemand mails verstuurt die eruitzien alsof ze van jouw domein komen. Je IT-beheerder kan dit in een middag instellen. Controleer je status gratis via mxtoolbox.com.

  5. Maak gebruik van de subsidie 'Mijn Cyberweerbare Zaak'. Sinds juli 2025 kunnen MKB-bedrijven via de Nederlandse overheid tot €1.250 subsidie krijgen voor cybersecuritymaatregelen. Denk aan een security-scan, MFA-implementatie of awareness-training. De drempel is laag en het budget is er. Geen excuus meer om het uit te stellen.


De realiteit accepteren

Ik ga hier geen angstverhaal van maken. Maar de cijfers liegen niet: AI maakt phishing goedkoper, schaalbaarder en overtuigender. Als deepfakes van een Belgische kroonprinses maandenlang onopgemerkt blijven, dan is de vraag niet of jouw organisatie doelwit wordt, maar wanneer. Je spamfilter vangt het gros nog op, maar de mails die erdoorheen komen zijn precies de gevaarlijke. De verdediging verschuift van technologie naar gedrag. Train je mensen, verifieer alles wat geld kost, en ga ervan uit dat elke mail nep kan zijn tot het tegendeel bewezen is.

Klarifai helpt organisaties bij het opzetten van AI-bewuste beveiligingsprotocollen die passen bij de schaal van het MKB.


Bronnen: AIwereld.nl: deepfakes Belgisch koningshuis (maart 2026), Rijksoverheid: subsidie Mijn Cyberweerbare Zaak (juli 2025)

More Insights

See All

[

TIPS

]

Boekhouding automatiseren met AI zonder dure software

Automatiseer je boekhouding met AI: facturen scannen, categoriseren en BTW berekenen. Concrete tools en stappen voor MKB'ers, zonder dure pakketten.

[

WET- & REGELGEVING

]

AVG en AI-training: mag je klantdata gebruiken om je eigen model te verbeteren?

Mag je klantdata gebruiken voor AI-training of fine-tuning? De AVG geeft geen eenduidig antwoord. Scenario's, risico's en praktisch advies voor MKB'ers.

[

WET- & REGELGEVING

]

De AI Act in de praktijk: wat moet jouw bedrijf regelen voor augustus 2026

Op 2 augustus 2026 worden de high-risk verplichtingen uit de AI Act van kracht. Boetes tot €35 miljoen of 7% omzet. Een helder stappenplan voor MKB'ers.