Een medewerker van het bedrijf in Hong Kong kreeg medio januari een mailtje van de financieel directeur om in het geheim een transactie te doen, schrijft de krant South China Morning Post. Volgens de politie had deze werknemer twijfels, maar die werden weggenomen nadat hij was uitgenodigd voor een videovergadering. Daar trof hij onder meer de financieel directeur en andere medewerkers, die er volgens de werknemer uit zagen en klonken als de mensen die hij kende.
Dit is een pijnlijke zaak. En het is zeker niet ondenkbaar dat zoiets in Nederland kan gebeuren
Daarop heeft de medewerker vijftien keer geld overgeschreven naar vijf verschillende bankrekeningen voor een totaalbedrag van 200 miljoen Hongkong-dollar. Pas nadat de werknemer contact had opgenomen met het hoofdkantoor van het bedrijf, kwam hij erachter dat hij was opgelicht. ,,Dit is een pijnlijke zaak”, zegt tech-juriste Lisette Meij, eigenaar van Lime Legal. ,,En het is zeker niet ondenkbaar dat zoiets in Nederland kan gebeuren. Deepfake-technieken zijn immers niet land-gebonden.”
Lees ook: Dit is hoe criminelen ondernemers afpersen: ‘Alsof ze een broodje kroket bestellen’
‘Ongelofelijk naïef’
Het oplichten van megabedrijven - beter bekend als ceo-fraude - is volgens de FBI de meest lucratieve vorm van cybercrime. Schattingen over de schade lopen tussen de 20 en 25 miljard dollar in de afgelopen jaren. ,,Ook in Nederland is dit nog altijd een groot probleem”, zegt Dave Maasland, ceo van beveiligingsbedrijf Eset Nederland. ,,Het zou ongelofelijk naïef zijn om te denken dat criminelen ons land overslaan en schromen om dit soort technologieën hier in te zetten. Juist in een tijd van technologische ontwikkeling, snel transformerende bedrijven en een wereld waarin er op afstand wordt gewerkt en het lastig is deepfakes te herkennen, zitten we in de zogenaamde gouden eeuw qua piraterij voor dit soort cybercriminelen.”
Grote Nederlandse bedrijven moeten zich hier de komende tijd op voorbereiden. ,,Diegenen die weerbaar zijn tegen dreigingen waar digitale technologie een rol in speelt hebben minder kans slachtoffer te worden van moderne vormen van criminaliteit”, stelt Michiel Steltman, directeur van stichting Digitale infrastructuur Nederland (DINL). ,,Kort en goed: it’s all about governance (goed bestuur, red.). Hoe goed zijn bestuurders in het omgaan met digitale tech en risico’s? Vergelijk het met geld. Je hoeft geen enkele bestuurder uit te leggen dat dat belangrijk is voor de bedrijfsvoering. Bij tech is dat gek genoeg vaak wel zo.”
Lees ook: Cybercriminelen zetten steeds vaker AI in: wat zijn de ondernemersrisico’s?
Begin 2022 publiceerde het Wetenschappelijk Onderzoek- en Documentatiecentrum een rapport over deepfakes. Daarin wordt ook een verbod voor consumenten geopperd. Maar volgens de onderzoekers zijn veel kwalijke toepassingen ook nu al strafbaar. De kern van het probleem is volgens hen dat de wet amper te handhaven is, omdat er te veel nepfilmpjes in omloop zijn om allemaal te controleren.
Speciaal 112-nummer voor bedrijven
Deepfake is volgens de specialisten daarom een groot probleem, maar niet onmogelijk om tegen te wapenen. ,,Bedrijven zullen zich hier op voor moeten bereiden door het voorlichten van medewerkers, het opstellen van heldere processen en richtlijnen en vooral een laagdrempelige manier van melden”, adviseert Maasland. Elk bedrijf heeft volgens hem een soort 112-nummer nodig waar medewerkers naar kunnen bellen en mailen. ,,Uiteindelijk is het oude wijn in nieuwe zakken, als een bericht een emotie probeert op te roepen om nu iets te doen zouden de alarmbellen moeten gaan rinkelen.”
Technieken om goede deepfakes te maken zijn overigens voor iedereen toegankelijk. Er bestaan zelfs al platforms waar je hackers kunt betalen om een realistische deepfake te maken. Bovendien, zegt juriste Lisette Meij, hoeft een oplichter niet per se in Nederland te zitten om een Nederlands bedrijf op te lichten. ,,Je hebt wel beeld- en stemmateriaal van iemand nodig om een goede geloofwaardige deepfake te kunnen maken. Mensen die in de top van een bedrijf zitten zijn vaker een publiek figuur, dus de kans is groot dat dat van hen beschikbaar is.”
Lees ook: Hoe wapen je jouw bedrijf tegen cyberaanvallen?
De Tweede Kamer wil deepfake in bepaalde gevallen kunnen verbieden. Een ruime Kamermeerderheid ondertekende in 2022 een motie van de VVD die moet voorkomen dat de technologie wordt ingezet voor ‘kwaadaardige doeleinden’.
