Nieuwe AI-tools voor hacken maken digitale aanvallen eenvoudiger en goedkoper. Beveiligingsbedrijven en opsporingsdiensten in Nederland en Europa zien de dreiging deze maand toenemen. Criminelen gebruiken generatieve systemen en open-source modellen om phishing, malware en fraude te versnellen. Dat heeft directe gevolgen voor Europese digitalisering gevolgen bedrijfsleven en overheid.
AI verlaagt drempel aanvallen
Opkomende “hack‑AI” bestaat uit getrainde modellen die helpen bij het voorbereiden en uitvoeren van digitale aanvallen. Op fora en chatkanalen circuleren namen als WormGPT en FraudGPT, die stap‑voor‑stap instructies geven voor phishing of malware. De toegang is laagdrempelig: een abonnement of een bot in een chatapp is vaak genoeg. Daardoor kunnen ook minder ervaren aanvallers snel aan de slag.
Grote taalmodellen (LLM’s) kunnen foutloze e‑mails, scripts en code schrijven. In het Nederlands maakt dat phishing geloofwaardiger, omdat taalfouten verdwijnen. Ook kunnen prompts voorbeelden van eerdere bedrijfscommunicatie nabootsen. Zo wordt social engineering, het manipuleren van mensen, effectiever.
Daarnaast worden stemklonen gebruikt voor zogeheten CEO‑fraude. Met korte geluidsfragmenten maakt software een overtuigende nepspraak. Dat vergroot de kans dat medewerkers betalingen of wachtwoorden doorgeven. De grens tussen echt en nep vervaagt zo verder.
“Hack‑AI is software die generatieve AI toepast om cyberaanvallen te ontwerpen, te automatiseren of te versnellen.”
Aanvallen persoonlijker en sneller
Aanvallers combineren openbare data (OSINT) met AI om berichten te personaliseren. Denk aan functietitels van LinkedIn, recente persberichten of e‑mailstijlen van een organisatie. Deze context maakt phishing geloofwaardiger. Het vergroot de kans op een klik of antwoord.
AI‑“agents” kunnen taken van begin tot eind automatiseren. Ze zoeken doelwitten, schrijven berichten, plannen follow‑ups en verwerken reacties. Daarmee stijgt het tempo en de schaal van campagnes. Eén persoon kan honderden doelwitten tegelijk benaderen.
Ransomware‑groepen gebruiken AI vooral voor snelle toegang en uitbuiting van fouten. De kern van de aanval blijft mensenwerk, maar de voorfase gaat sneller. Defenders zien hierdoor meer, en beter gerichte, pogingen langskomen. De druk op detectie en respons neemt toe.
Europese regels raken bedrijfsleven
Met NIS2 wordt de zorgplicht voor digitale veiligheid in de EU fors uitgebreid. Meer sectoren en ook middelgrote bedrijven vallen onder de regels, zoals zorg, energie, logistiek en digitale infrastructuur. In Nederland wordt NIS2 in de Wet beveiliging netwerk- en informatiesystemen doorgevoerd, op het moment van schrijven naar verwachting in 2025. Dat betekent dat organisaties hun weerbaarheid tegen AI‑gestuurde aanvallen aantoonbaar moeten verbeteren.
NIS2 eist risicobeheer, supply‑chain‑maatregelen en snelle incidentmeldingen (binnen 24 uur een eerste melding). Bestuurders krijgen expliciete verantwoordelijkheid en er staan boetes op niet‑naleving. Dit raakt ook inkoop: leveranciers en clouddiensten moeten kunnen aantonen dat zij basismaatregelen nemen. Contracten en audits worden daardoor belangrijker.
De Europese AI‑verordening (AI Act) stelt transparantie‑eisen aan generatieve modellen. Leveranciers van zogeheten general‑purpose AI moeten documentatie en risicobeperking leveren; deepfakes moeten herkenbaar zijn. Dat helpt misleiding tegengaan, al verbiedt de wet cybercriminaliteit op zichzelf niet. In Nederland wordt de toezichtrol op het moment van schrijven voorbereid, met een centrale coördinator en markttoezicht bij bestaande autoriteiten.
Beperkingen en realistische risico’s
AI‑antwoorden zijn niet feilloos. Code kan fouten bevatten en tools hallucineren soms, waardoor aanvallen stranden. Verdedigers gebruiken op hun beurt AI om patronen te herkennen en detectie te verscherpen. Het is dus geen eenrichtingsverkeer.
Open‑source modellen vragen nog steeds kennis en data om echt effectief te zijn. Zonder goede prompts, context en testcyclus leveren ze middelmatige resultaten op. Hack‑AI is geen “magische hackknop”. Vaardigheid en voorbereiding blijven nodig.
Toch verschuift het risico door lagere kosten en hogere snelheid. Het volume neemt toe en de drempel voor beginners zakt. Vooral mkb‑bedrijven in Nederland, met beperkte securityteams, worden hierdoor kwetsbaar. Snelle basismaatregelen maken dan het verschil.
Wat organisaties nu moeten doen
Begin met basisbeveiliging: multifactor‑authenticatie, tijdig patchen en netwerksegmentatie. Beperk rechten van accounts en draai standaard geen macro’s of scripts. Zorg voor offline back‑ups en test herstel regelmatig. Zo blijft de impact van een aanval beperkt.
Bescherm e‑mail en identiteit extra. Stel SPF, DKIM en DMARC in om misbruik van domeinen te beperken en blokkeer look‑alike domeinen. Train medewerkers met realistische, maar veilige, phishing‑oefeningen. Overweeg inzet van AI in detectie, maar koppel dit aan duidelijke procedures.
Werk dataminimalisatie en versleuteling uit conform de AVG. Log toegang en houd incidentprocessen paraat, inclusief een 24‑uurs meldroute voor NIS2. Deel dreigingsinformatie via sectorale ISAC’s en het NCSC, en doe aangifte bij het Team High Tech Crime van de politie bij ernstige incidenten. Samenwerking verkleint de kans op herhaling.