CSM25: Deepfakes op de werkvloer, geen sciencefiction meer

Deepfake-technologie begint serieuze vormen aan te nemen. Ook het bedrijfsleven blijft niet gespaard: CEO-fraude en nepkandidaten voor sollicitaties kunnen bedrijven veel schade opleveren. Hoe werken deepfakes, hoe herken je ze en hoe stop je deze nieuwe dreiging?

Een videobericht van je baas met de vraag of je een flink bedrag wilt overmaken. Het klinkt onwaarschijnlijk, maar als je ervan overtuigd bent dat het echt je baas is, wat doe je dan?
Het overkwam een medewerker van een multinational in Hongkong in 2024. Die maakte het bedrag, 23,6 miljoen euro, over. Pas later ontdekte hij dat hij niet met zijn echte baas had gesproken, maar met een deepfake. Het was een van de duurste vergissingen in het bedrijfsleven ooit.

Trump en Taylor Swift

Deepfakes zijn video's, audio-opnames of foto's die door kunstmatige intelligentie zijn gemaakt. Sinds de stormachtige opkomst van AI zijn ze steeds vaker in het nieuws. Zo plaatste Donald Trump in augustus 2024 door AI-gegenereerde foto's van Taylor Swift die zijn presidentscampagne zou steunen. In maart 2022 dook een deepfake op van de Oekraïense president Zelensky waarin hij zijn troepen opdroeg de wapens neer te leggen. Ook hier werd snel duidelijk dat het om een vervalsing ging.

Hoe werken deepfakes?

Deepfake is een samentrekking van 'deep learning' en 'fake'. De technologie gebruikt kunstmatige intelligentie om nieuwe video's, audio of foto's te maken die er echt uitzien.

De AI leert hoe iemand eruitziet en klinkt door honderden foto's en video's te analyseren. Die zijn vaak gewoon van social media of bedrijfswebsites te halen. Vervolgens maakt de computer nieuwe beelden waarin die persoon zogenaamd bepaalde dingen zegt of doet.

Deepfake-technologie werkt met neurale netwerken, computermodellen die zijn geïnspireerd op hoe hersenen informatie verwerken. Deze netwerken leren patronen herkennen in grote hoeveelheden data.

Voor deepfakes worden twee netwerken gebruikt die tegen elkaar ‘spelen’. Het eerste netwerk, de generator, probeert nepbeelden te maken. Het tweede netwerk, de discriminator, probeert te herkennen of beelden echt of nep zijn. Ze blijven dit doen tot het eerste netwerk zo goed wordt dat zelfs het tweede netwerk het verschil niet meer ziet. De vervalsing kan dan zo goed zijn dat mensen er ook intrappen.

Voor audio-deepfakes werkt het vergelijkbaar. Het netwerk leert de unieke kenmerken van iemands stem: toonhoogte, ritme, accent, ademhaling. Met die informatie kan het nieuwe spraak genereren die klinkt alsof die persoon het heeft gezegd.

Tot een paar jaar geleden kostte het maken van deepfakes extreem veel tijd en expertise. Nu kan bijna iedereen het. Er zijn gratis apps en online tools beschikbaar. Sommige kunnen al in enkele minuten overtuigende deepfakes maken. De kwaliteit wordt met de maand beter.

CEO-fraude met nepvideo’s

Het geval in Hongkong was geen uitzondering. Zelfs Nederlandse bedrijven blijven niet gespaard. Online-bank Bunq meldde onlangs een poging waarbij criminelen de CEO probeerden na te bootsen in een videogesprek. Gelukkig waren medewerkers getraind om inconsistenties te herkennen.

De aanpak is vaak hetzelfde. Eerst komt er een e-mail van de ‘baas’ over een urgente, vertrouwelijke transactie. Als de medewerker twijfelt, volgt een videogesprek om de laatste aarzelingen weg te nemen. Door de tijdsdruk en de vertrouwde gezichten maken slachtoffers het geld over.

Andere voorbeelden van deepfakes op de werkvloer

Helaas lopen niet alleen CEO’s risico. Deepfakes duiken inmiddels op in alle uithoeken van het bedrijfsleven.

Nepkandidaten bij sollicitaties

Amerikaanse techbedrijven krijgen al op grote schaal te maken met sollicitanten die niet bestaan. De FBI waarschuwt dat criminelen deepfakes gebruiken om IT-functies te bemachtigen bij bedrijven. Eenmaal binnen kunnen ze toegang krijgen tot gevoelige systemen.

Het bedrijf KnowBe4 is zo eerlijk om op de eigen site verslag te doen. Ze namen iemand aan na vier videogesprekken. De kandidaat leek te kloppen met de foto en kwam iedere ronde feilloos door. Pas nadat hij malware probeerde te installeren, bleek het om een Noord-Koreaanse agent te gaan die een gestolen identiteit gebruikte.

Onderzoeksbureau Gartner voorspelt dat tegen 2028 een op de vier sollicitanten in de techsector uit ‘gebakken AI-lucht’ zal bestaan. Vooral bij remote functies is het risico groot, omdat er geen fysieke ontmoeting plaatsvindt.

Wervingsfraude

Ook aan de andere kant van de tafel duiken deepfakes op. Criminelen doen zich voor als recruiters van bekende bedrijven en gebruiken deepfake-video's om slachtoffers te overtuigen. Ze vragen vooraf geld voor ‘administratiekosten’ of hengelen naar persoonlijke gegevens.

Aandeelhoudersvergaderingen en zakelijke communicatie

Er zijn al gevallen bekend waarbij criminelen hebben geprobeerd aandeelhoudersvergaderingen te verstoren met nepuitspraken van bestuurders. Ook interne communicatie kan kwetsbaar zijn. Denk aan een deepfake van de HR-directeur die nieuwe, nadelige arbeidsvoorwaarden aankondigt.

Medewerkers trainen om deepfakes te herkennen

De eerste verdedigingslinie tegen deepfakes zijn de medewerkers van bedrijven. Technologie alleen is niet genoeg, mensen moeten leren wat ze moeten zien.

Vertel waarop medewerkers moeten letten

Train medewerkers om op inconsistenties te letten. Bij video's kunnen dat kleine dingen zijn: onnatuurlijk knipperen, lipsync die niet klopt, of gezichtsuitdrukkingen die niet bij de stem passen. Bij gesprekken via Teams of Zoom kunnen pixels rond het gezicht opvallend flikkeren.

Audio-deepfakes zijn complex om te herkennen. Kleine onnatuurlijke dingen vallen op: vreemde intonatie, onnatuurlijke pauzes, ontbrekende ademhaling. Maar in de praktijk zijn audio-deepfakes juist gevaarlijker. Je mist visuele signalen zoals lip-sync of oogcontact. Vooral aan de telefoon of via WhatsApp-audio kan een redelijk goede deepfake heel overtuigend overkomen.

Creëer een cultuur van gezond wantrouwen

Medewerkers moeten zich vrij voelen om vragen te stellen, ook bij verzoeken van hogergeplaatsten. Sommige organisaties hebben een ‘stopwoord’ ingevoerd dat iedereen kan gebruiken als iets niet klopt.

Oefen met echte voorbeelden

Laat medewerkers zelf deepfakes zien en vraag of ze het verschil kunnen zien. Er zijn online tools zoals de website MIT Detect Fakes waar mensen kunnen oefenen. Hoe meer voorbeelden mensen zien, hoe beter ze worden in herkenning.

Implementeer verificatieprocedures

Stel duidelijke regels op voor gevoelige verzoeken. Bij financiële transacties boven een bepaald bedrag: altijd dubbelchecken via een ander kanaal. Een telefoontje of bericht naar een bekend nummer of een fysieke controle.

Maak gebruik van multi-factor authenticatie, ook voor interne communicatie. Een videogesprek plus een bevestiging via een ander medium kunnen veel deepfake-pogingen stoppen.

Technische detectiemethoden

Technologie bestrijden met technologie, ook in het geval van deepfakes zijn er steeds meer mogelijkheden.

AI tegen AI

De Nederlandse startup DuckDuckGoose ontwikkelt detectiesoftware die deepfakes kan ontmaskeren. Hun technologie wordt al gebruikt door het Nederlands Forensisch Instituut en de Tweede Kamer. Het principe is simpel: gebruik AI om AI-manipulaties te herkennen.

Commerciële detectietools worden geïntegreerd in videosoftware. Ze kunnen in realtime waarschuwen als er een deepfake wordt gedetecteerd tijdens een videogesprek.

Biologische kenmerken herkennen

Onderzoekers van het NFI werken aan methoden die naar hartslag en bloedstroom in gezichten kijken. Deepfakes kunnen de subtiele kleurveranderingen in het gezicht door bloedcirculatie niet nabootsen. Ook onregelmatig knipperen of onnatuurlijke pupilbewegingen kunnen wijzen op nepvideo’s.

Technische analyses

Forensische experts gebruiken steeds geavanceerdere methoden. Ze kijken naar de ‘vingerafdruk’ van camera's, analyseren de elektrische netwerkfrequentie in video's om de tijd en plaats te achterhalen en zoeken naar kleine digitale sporen die achterblijven wanneer een video is aangepast.

Blockchain en watermerken

Sommige bedrijven experimenteren met digitale watermerken en blockchain-technologie om de herkomst van video's te verifiëren. Als je kunt bewijzen waar en wanneer een video is gemaakt, wordt het makkelijker om een deepfake te achterhalen.

Het blijft een kat-en-muisspel. Elke maand verschijnen betere deepfake-tools én betere detectiemethoden. Perfecte detectie bestaat niet. Een goede verdediging combineert daarom altijd technische tools met menselijke alertheid en slimme procedures.

Deepfakes en wetgeving

De Nederlandse wet heeft al instrumenten om deepfake-misbruik aan te pakken. CEO-fraude met deepfakes valt gewoon onder de fraudewetgeving, ongeacht de technologie.

Ook de AVG kan van toepassing zijn. Het maken van deepfakes zonder toestemming kan een schending zijn van privacyregels.

Volgens onderzoek van het Wetenschappelijk Onderzoek- en Documentatiecentrum is het probleem niet de wetgeving, maar de handhaving. Deepfakes verspreiden zich snel online en criminelen opereren vaak vanuit het buitenland. Tegen de tijd dat er juridische stappen worden ondernomen, is de schade al geleden.

Wat te doen als je bedrijf slachtoffer wordt?

Het ergste scenario is gebeurd: je bedrijf is getroffen door deepfake-fraude. Wat nu?

• Direct reageren: stop alle financiële transacties die mogelijk verband houden met het incident. Documenteer alles: screenshots, video-opnames, e-mails. Schakel de IT-afdeling in om verder onderzoek te doen.
• Melden: doe aangifte bij de politie. Meld het incident ook bij de bank als er geld is overgemaakt. Informeer cybersecurity-partners en verzekeraars.
• Communiceren: wees transparant naar medewerkers over wat er is gebeurd. Dat voorkomt verdere incidenten en toont dat je de zaak serieus neemt. Overweeg externe communicatie als de reputatie van je bedrijf in gevaar is.
• Voorkomen: gebruik het incident als leermoment. Evalueer je procedures en verscherp waar nodig. Extra training voor medewerkers is vaak de beste investering.

Een nieuwe realiteit

Deepfakes zijn geen toekomstdreiging meer, ze zijn realiteit. Het goede nieuws: je kunt je voorbereiden. Train medewerkers, implementeer slimme procedures en investeer in detectietechnologie. Deepfakes blijven onvolmaakt en verraden zichzelf door kleine signalen. Door mensen te leren die te herkennen en gezond wantrouwen te waarderen, bouw je de beste verdediging tegen deze dreiging.