Tot 2023 leerden gebruikers phishing herkennen aan rare zinnen, kromme aanspreekvormen en spelfouten. Generatieve AI heeft die signalen weggepoetst. Een aanvaller voert het LinkedIn-profiel van uw CFO in, vraagt om een mail in haar schrijfstijl, en krijgt binnen tien seconden een verzoek dat collega's niet meer onderscheiden van echt.
Wat er verandert aan de inhoud
Drie verschuivingen vallen op. De mails worden persoonlijker omdat LLM's publieke data combineren met gelekte datasets. Ze zijn contextueel: een aanvaller scrapet uw recente persbericht en verwijst er expliciet naar. En ze passen tone of voice aan per doelgroep, van juridisch jargon voor de legal-afdeling tot informele Slack-stijl voor developers.
Deepfake-stem in de voicemail
ElevenLabs en vergelijkbare tools klonen een stem uit dertig seconden audio. Aanvallers laten een voicemail achter die klinkt als de CEO, met het verzoek dringend terug te bellen op een opgegeven nummer. Het callback-nummer leidt naar een tweede AI-bot die de social engineering afmaakt. Detectie achteraf is mogelijk via spectrale analyse, maar tijdens het gesprek hoort niemand het verschil.
Trainingscyclus moet sneller
Jaarlijkse e-learning haalt 2026 niet bij. Phishing-templates verouderen binnen weken. Met PhishWise of Microsoft Attack Simulator stuurt u maandelijks een nieuw scenario uit, gebaseerd op de actuele dreiging. Maandelijkse simulatie houdt de klikratio onder de vijf procent, kwartaaltraining laat hem oplopen naar twintig.
Technische verdedigingslagen
AI-gegenereerde mails passeren spellingscontrole, maar laten andere sporen achter. Microsoft Defender for Office 365 detecteert anomalieen in headers, sender reputation en first-contact safety tips. Mimecast en Proofpoint gebruiken machine learning op intent-niveau: een mail die vraagt om factuurwijziging krijgt extra inspectie, ongeacht hoe vlekkeloos hij geschreven is. Combineer dat met DMARC op p=reject zodat domain-spoofing bij de poort sneuvelt.
Wat u medewerkers leert in plaats van spelfouten
Verschuif de training van taalcontrole naar contextcontrole. Klopt het verzoek met het normale werkproces? Wijkt de afzender af bij de header-details? Wordt urgentie ingezet om verificatie over te slaan? Deze vragen overleven de volgende lichting AI-modellen, want ze gaan over gedrag, niet over taal.
Verwant: Freelance cybersecurity consultant, Freelance AI consultant.