AI maakt phishing echter: overnames van accounts schieten omhoog

Het aantal account-overnames steeg van 607 naar 1742.

Het aantal zogeheten account takeovers is vorig jaar bijna verdrievoudigd, van 607 in 2024 naar 1742. Bij zulke overnames krijgen criminelen via een phishingmail toegang tot een werknemersaccount, waarna zij een grotere cyberaanval kunnen starten.

Dat meldt de Autoriteit Persoonsgegevens (AP). De privacywaakhond ziet dat de snelle ontwikkeling van kunstmatige intelligentie (AI) de risico’s op phishing en cyberaanvallen vergroot, en adviseert organisaties om “nu in actie te komen” om hun digitale veiligheid op orde te brengen. Alleen dan kunnen organisaties volgens de toezichthouder gegevens beschermen tegen steeds geavanceerdere vormen van cybercriminaliteit.

Dieper doordringen in de organisatie

Phishingaanvallen zijn volgens de AP niet langer alleen het gevolg van een datalek, maar ook steeds vaker de oorzaak. Neplinks in phishingmails kunnen leiden tot de overname van een werknemersaccount, waarna criminelen dieper in een organisatie doordringen.

Criminelen maken de inhoud van deze nepberichten met behulp van AI steeds echter. Door gegevens uit eerdere datalekken te gebruiken, stellen zij gepersonaliseerde phishingmails op met bijvoorbeeld de naam en contactgegevens van het potentiële slachtoffer. Dezelfde AI-methoden waarmee kwetsbaarheden in cyberveiligheid zijn tegen te gaan, kunnen criminelen inzetten om die kwetsbaarheden juist te signaleren en te misbruiken.

Digitale bescherming

Door deze wisselwerking is het volgens de AP “essentieel dat organisaties hun digitale bescherming op peil brengen”. De privacywaakhond roept op tot algemeen beleid voor cyberveiligheid en adviseert gegevens niet centraal op te slaan. De toezichthouder gaat techbedrijven daarnaast vooraf controleren op dataveiligheid.

De AP ontving vorig jaar in totaal 39.407 meldingen van datalekken. Het aantal meldingen stijgt opnieuw, maar minder hard dan in 2024, toen 37.839 meldingen binnenkwamen, bijna de helft meer dan in 2023. Die eerdere sprong komt doordat de AP sinds 2024 organisaties toestaat meerdere datalekken tegelijk te melden.

Datalekken veroorzaken volgens de AP onrust en problemen in de maatschappij. Een lek bij het bevolkingsonderzoek naar baarmoederhalskanker zorgde er vorig jaar voor dat mensen twijfelden of zij opnieuw wilden deelnemen, en een lek bij het OM vertraagde rechtszaken. “Door dit soort datalekken verliest men het vertrouwen in digitale dienstverlening van bedrijven en overheden”, aldus de AP. (ANP)

Masterclass voor bestuurders over cyberrisico’s in het AI-tijdperk: governance, digitale afhankelijkheid, NIS2 en bestuurlijke handelingsperspectieven.

Gerelateerde artikelen