Phishing was vroeger vaak te herkennen aan kromme zinnen, rare opmaak en duidelijke spelfouten. Die signalen bestaan nog steeds, maar ze zijn minder betrouwbaar geworden. Met AI kunnen cybercriminelen sneller nette teksten maken, berichten aanpassen aan een doelgroep en variaties testen. Daardoor ziet phishing er steeds vaker professioneel uit.
AI betekent niet dat elke aanval automatisch succesvol is. Maar het verlaagt wel de drempel. Een aanvaller hoeft geen perfecte taalbeheersing te hebben om overtuigende e-mails te schrijven. Ook kunnen berichten makkelijker worden afgestemd op een branche, functie of actuele gebeurtenis.
Phishing wordt persoonlijker
Met openbare informatie van websites, LinkedIn, nieuwsberichten en eerdere datalekken kunnen aanvallers berichten geloofwaardiger maken. Een e-mail kan verwijzen naar een echte collega, een bekend project, een leverancier of een recente afspraak. AI helpt om die informatie vloeiend te verwerken in een tekst die normaal klinkt.
Dat maakt het lastiger voor medewerkers om alleen op gevoel te vertrouwen. Een bericht kan netjes, relevant en vriendelijk zijn en toch kwaadaardig. Daarom moeten medewerkers kijken naar het verzoek zelf: moet ik inloggen, betalen, downloaden, gegevens delen of snel reageren?
Bij moderne phishing is de vraag niet alleen of de tekst klopt, maar of het verzoek klopt.
Meer varianten, meer druk
AI kan ook helpen om veel varianten van een phishingbericht te maken. De ene versie speelt in op haast, de andere op hulpvaardigheid of nieuwsgierigheid. Hierdoor kunnen aanvallers sneller testen welke toon werkt. Medewerkers krijgen daardoor berichten die beter passen bij normale werkdruk.
Ook smishing, chatberichten en nepberichten via samenwerkingsplatformen kunnen professioneler worden. Een korte Teams-achtige melding of sms hoeft niet veel tekst te bevatten om overtuigend te zijn. Juist kleine berichten kunnen effectief zijn omdat ze weinig ruimte geven om fouten te zien.
Wat medewerkers kunnen doen
De basis blijft hetzelfde: controleer de afzender, kijk kritisch naar links, wees voorzichtig met bijlagen en vertrouw geen druk of urgentie zonder verificatie. Maar de nadruk verschuift. Spelfouten zijn niet meer het belangrijkste signaal. Context, verwachting en gedrag worden belangrijker.
Als een verzoek gevoelig is, zoals betaling, wachtwoordwijziging of gegevensdeling, controleer dan via een bekende route. Bel niet zomaar het nummer uit het bericht, maar gebruik een bekend nummer of intern kanaal.
Training moet realistischer worden
Omdat phishing realistischer wordt, moet training dat ook zijn. Voorbeelden met overduidelijke fouten zijn nuttig voor beginners, maar niet genoeg. Medewerkers moeten oefenen met berichten die echt lijken op wat zij dagelijks ontvangen.
SecuSnack helpt om Security Awareness actueel en herkenbaar te houden. Door korte scenario's te gebruiken, leren medewerkers dat AI phishing geloofwaardiger maakt, maar dat kritisch denken en rustig controleren nog steeds werken.