In februari 2024 verloor een medewerker van een Hongkongs financieel bedrijf 200 miljoen Hongkongse dollar aan criminelen die een deepfake video-call organiseerden met nep-collega's, inclusief een nep-CFO. De medewerker, die twijfelde aan de authenticiteit van een betalingsopdracht, werd via een video call overtuigd door wat leek op zijn echte collega's. Het was een perfect geconstrueerde illusie — en het won. Dit incident is geen uitzondering meer; het is een voorbode.

De Deepfake Technologie

Deepfakes zijn AI-gegenereerde of AI-gemanipuleerde media — video, audio, of foto's — die realistische personen tonen die dingen zeggen of doen die ze nooit hebben gedaan. Tools als HeyGen, ElevenLabs' Voice Cloning, en Runway ML maken het mogelijk om in minuten een realistische video te maken van iemand die een willekeurige tekst uitspreekt, op basis van slechts een paar foto's en een audio-sample. De kwaliteit is zodanig dat niet-getrainde ogen en oren de nep van de echte soms niet kunnen onderscheiden.

CEO-Fraude en BEC-Aanvallen

Business Email Compromise was al jaren een lucratieve criminele activiteit: criminelen doen zich voor als een leidinggevende en instrueren een medewerker via e-mail om geld over te maken. AI maakt deze aanvallen gevaarlijker door de personificatie uit te breiden naar audio en video. In 2023 rapporteerde een energiebedrijf in het VK dat een medewerker was overtuigd door een telefoontje van zijn CEO — in werkelijkheid een AI-gegenereerde stem die zijn baas perfect imiteerde. Er werd 243.000 dollar overgemaakt voordat de fraude werd ontdekt.

Identiteitsfraude op Schaal

Naast gerichte aanvallen op bedrijven, gebruiken criminelen deepfakes voor grootschalige identiteitsfraude. Gezichtsherkenning bij online identiteitsverificatie — gebruikt door banken, crypto-exchanges en overheidsportalen — wordt aangevallen met AI-gegenereerde video's die echte documenten combineren met een synthetisch gezicht. Sommige verificatiesystemen die een liveness check uitvoeren zijn kwetsbaar voor deepfake-aanvallen met voldoende kwaliteit. Financiële toezichthouders in Nederland beginnen eisen te stellen aan de robuustheid van digitale identiteitsverificatie.

Detectie en Verdediging

Gelukkig ontwikkelt de detectietechnologie zich parallel aan de creatie-technologie. Tools van Intel (FakeCatcher) en Microsoft (Video Authenticator) kunnen deepfakes detecteren door te kijken naar microscopische patronen in huidtextuur en oogbewegingen die AI-modellen niet perfect repliceren. Op organisatieniveau zijn de beste verdedigingen procesgericht: meerfactorauthenticatie voor alle betalingsopdrachten, beleid dat grote betalingen altijd telefonische bevestiging vereisen via een vooraf bekende nummer, en training van medewerkers in het herkennen van social engineering.

De Wettelijke Respons

Wetgeving rondom deepfakes is in ontwikkeling. De EU AI Act verbiedt het inzetten van AI voor manipulatieve technieken die schade kunnen veroorzaken. Specifieke deepfake-regelgeving is in voorbereiding in meerdere EU-lidstaten. In de VS zijn staten als Californië en Texas begonnen met het verbieden van schadelijke deepfakes, met name rondom verkiezingen en fraude. De handhaving is echter complex wanneer de daders in andere rechtsgebieden opereren. De realiteit is dat technologie en recht in een race zijn verwikkeld — en de technologie heeft momenteel een voorsprong.