De deepfake-dreiging is hier: het is tijd om deze in Enterprise Risk Management in te bouwen

Door Phil Muncaster • 5 September 2023

Toen de Britse kampioen consumentenrechten Martin Lewis de sociale media gebruikte om een nieuw 'Quantum AI'-investeringsplan te promoten, waren velen verrast door deze stap. Lewis had immers jarenlang vertrouwen bij het publiek opgebouwd door te weigeren commerciële projecten van welke aard dan ook te steunen. In feite de videoadvertentie met Lewis bleek een deepfake te zijn. De kwaliteit van de gelijkenis werd door de man zelf als ‘beangstigend’ bestempeld, die waarschuwde dat dergelijke vervalsingen ‘levens konden ruïneren’.

Dat is ongetwijfeld waar. Maar bij kwaadwillig gebruik vormt de technologie niet alleen een fraudebedreiging voor consumenten, maar vormt zij ook een enorm financieel en reputatierisico voor ondernemingen. Het is een risico dat een goed informatiebeveiligingsbeheersysteem (ISMS) zou kunnen helpen beperken.

Wat is deepfake-technologie?

Deepfakes gebruiken een soort AI-technologie die bekend staat als deep learning om vervalste video en audio van mensen te creëren die moeilijk te onderscheiden zijn van echte inhoud. Het kan worden gebruikt om spraak te synthetiseren en gezichtsuitdrukkingen effectief te manipuleren, zodat het lijkt alsof iemand iets zegt wat hij niet zegt. Hoewel er legitieme toepassingen zijn voor de technologie, bijvoorbeeld in de filmindustrie, wordt deze steeds vaker ingezet voor kwaadaardige doeleinden.

De nep van Martin Lewis is een van de eerste keren dat een video op die manier wordt gebruikt om investeringsfraude te promoten. Deepfake-audio bestaat echter al enkele jaren en wordt gebruikt om ontvangers te misleiden om geld over te maken naar rekeningen van fraudeurs. Deze techniek bedroog een Brit CEO om te geloven een deepfake-audio van zijn Duitse baas die hem vertelt meer dan $ 240,000 over te maken naar een rekening van derden. En het heeft een Japanse manager opgelicht te geloven dat de directeur van zijn moederbedrijf om een overdracht van $ 35 miljoen had verzocht.

Wat zijn de potentiële bedreigingen?

De bovenstaande gevallen zijn een soort uitvlucht voor de Business Email Compromis (BEC)-zwendel, een soort voorschotfraude waarbij de oplichter de slachtoffers ertoe verleidt grote bedragen naar laatstgenoemde over te maken. Er zijn echter nog andere opkomende bedreigingen voor ondernemingen. Deze omvatten:

Phishing-tactieken stimuleren: Een deepfake-audio of -video van een vertrouwde entiteit binnen het bedrijf, bijvoorbeeld het hoofd van de IT-afdeling of een bedrijfseenheid, kan het slachtoffer ertoe verleiden zijn inloggegevens of gevoelige bedrijfsinformatie over te dragen. De FBI heeft dat gedaan al gewaarschuwd medewerkers van deepfake-audio die wordt gebruikt in combinatie met videoconferentieplatforms.

Frauduleus solliciteren naar banen op afstand: De FBI heeft waarschuwde ook van deepfakes gebruikt met gestolen persoonlijke informatie help oplichters banen op afstand te winnen. Toegang tot bedrijfsnetwerken kan vervolgens worden gebruikt om gevoelige klant- en bedrijfsinformatie te stelen.

Identiteitscontroles omzeilen: Gezichts- of stemherkenning is een steeds populairdere manier voor organisaties om gebruikers, vooral klanten, te authenticeren. Zoals gedetailleerd door Europol, zouden deepfakes kunnen worden ingezet om deze systemen te misleiden om accounttoegang te verlenen. Hoewel dit geen directe bedreiging voor de bedrijfsveiligheid vormt, kan het ernstige gevolgen hebben voor de reputatie en financiële risico's.

Klanten rechtstreeks oplichten: Timothy Morris, hoofdbeveiligingsadviseur van Tanium, stelt dat deepfakes van audio kunnen worden gebruikt als vervolg op smishing-campagnes (phishing-tekst), waarbij klanten wordt verteld een nummer te bellen als ze een specifieke afschrijving op hun account niet herkennen.

“Als u belt, wacht een vriendelijke deepfake die uw bank vertegenwoordigt, uw inloggegevens en geld op te nemen”, legt hij uit aan ISMS.online. “Vergelijkbare methoden kunnen deepfakes gebruiken voor technische ondersteuning en romantiekzwendel.”

Het verspreiden van desinformatie over het bedrijf: Een bedrijf wil bijvoorbeeld de verkoop en aandelenkoers van zijn rivaal beïnvloeden door een nepvideo te plaatsen waarin een CEO beweert dat de producten van zijn bedrijf gebrekkig zijn.

“De verspreiding van deepfake-inhoud gericht op het belasteren van organisaties of belangrijk personeel kan aanzienlijke reputatieschade veroorzaken”, vertelt Ricardo Amper, CEO van Incode, aan ISMS.online. “Door de publieke perceptie te manipuleren, kunnen deepfakes verreikende maatschappelijke implicaties hebben, die van invloed zijn op de marktperceptie, het vertrouwen van klanten en zelfs op de politieke omgeving.”

Hoe kan een ISMS helpen?

Gelukkig zijn er dingen die organisaties op een systematische manier kunnen doen om de risico’s van deepfakes te beperken, aldus Eze Adighibe, ISO-consultant bij Bulletproof.

“Deepfakes worden met verschillende geassocieerd cyberrisico's die een effectief informatiebeveiligingsbeheersysteem met zich meebrengt (ISMS) kan via een compliance-framework zoals ISO 27001 ondersteunen bij het mitigeren. Voorbeelden van deze risico’s zijn social engineering-aanvallen, oplichting, identiteitsdiefstal, nepprofielen en geautomatiseerde verkeerde informatie”, vertelt hij aan ISMS.online.

“Een ISMS vereist een alomvattend systeem risicobeoordeling van informatiebeveiliging met een analyse van de impact en de selectie van controles om geïdentificeerde risico's te behandelen. Daarom moeten organisaties overwegen om deepfakes op te nemen in hun risicobeoordelingsactiviteiten, gezien de dreiging die ze vandaag de dag vormen.”

Concreet kan een ISMS volgens Adighibe op drie gebieden het deepfake-risico helpen beperken:

Bewustwording van het risico op deepfake onder medewerkers vergroten
Het implementeren van de juiste technische controles om deepfakes te detecteren en te voorkomen
Het ontwikkelen van incidentrespons-/beheerprocedures voor het omgaan met deepfake-aanvallen

Hij legt uit dat de in ISO 27001 opgesomde controles die hier kunnen helpen bestaan uit training in beveiligingsbewustzijn/phishing-simulaties, krachtige toegangscontroles en tools voor beveiligingsmonitoring. Anderen hebben betrekking op privacy en bescherming van PII, het verwijderen van informatie, rapportage van beveiligingsgebeurtenissen en dreigingsinformatie.

“Organisaties die goed thuis zijn in het beperken van opkomende dreigingen zullen al over maatregelen beschikken om deepfakes aan te pakken, maar het is de hoogste tijd dat alle bedrijven, ongeacht hun omvang, de risico’s in kaart brengen en de juiste beveiligingsmaatregelen implementeren”, aldus Oliver Pinson, CEO van Defense.com. Roxburgh vertelt ISMS.online.

Hij heeft gelijk. Deepfake audio/video wordt niet alleen steeds realistischer. Het wordt betaalbaarder voor meer mensen met snode bedoelingen. Daar zijn ook tekenen dat deze mogelijkheden worden aangeboden als een dienst in de cybercriminaliteitswereld. Dat is een veilige manier om het te democratiseren voor nog meer kwaadaardige actoren.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster