Begin 2024 boekte een filiaal van Arup in Hong Kong 200 miljoen Hong Kong dollar over naar oplichters. De medewerker zat in een videovergadering met wat leek op de CFO en collega's uit Londen. Iedereen behalve hijzelf was deepfake. De zaak markeert het kantelpunt: deepfake-fraude is geen demo meer, het is operationeel.

Voicebot belt namens de CEO

Stem-klonen kost minder dan vijf euro per maand bij ElevenLabs of Resemble AI. Aanvallers schrapen een podcast-interview, een YouTube-presentatie of een ingesproken voicemail van de CEO en draaien daar binnen minuten een kloon mee. De call komt binnen op de vrijdagmiddag, vraagt om spoedoverboeking, en leunt op urgentie. Bij Ferrari liep dit in 2024 nog goed af omdat de medewerker een verificatievraag stelde over een privegesprek.

Video-Zoom-deepface

Realtime face-swap met DeepFaceLive of Avatarify draait op een gewone gaming-pc. De aanvaller logt in op Zoom of Teams met het profiel van een externe leverancier en houdt het gesprek kort, vaak onder vijf minuten. Bij langere gesprekken verraden lipsync-glitches, knipperfrequentie en zijhoofdbewegingen het model nog steeds, maar de marge wordt elk kwartaal kleiner.

Technische detectie wankelt

Microsoft Video Authenticator, Intel FakeCatcher en Reality Defender bieden detectie, maar lopen achter op de generators. Een model dat vorige maand betrouwbaar 95 procent haalde, zit nu op 70. Vertrouw niet op een tool als enige laag. Het arms race tussen generatie en detectie loopt structureel in het nadeel van de verdediger.

Callback-protocol als laatste lijn

De enige verdediging die schaalt is procesmatig. Implementeer een callback-protocol voor financiele instructies: elke betaalopdracht boven een drempelbedrag wordt geverifieerd via een terugbel op een vooraf vastgelegd nummer, niet het nummer dat in de mail of call wordt opgegeven. Combineer met vier-ogen-principe in uw ERP en codewoord-afspraken voor directieleden onderling.

Training op het scenario

Speel deepfake-incidenten na in tabletop-oefeningen. Een finance-medewerker die ooit door een gesimuleerde call is gegaan, weet wat het callback-protocol waard is. PhishWise biedt vishing-modules waarin een acteur een directielid speelt. Dat is dichter bij de werkelijkheid van 2026 dan een mailtest.

Verwant: Freelance cybersecurity consultant, Freelance AI consultant.