:format(webp))
AI-phishing en accountovernames: wat moet u weten?
Door Thomas Schepers
Het is een doordeweekse dinsdagochtend. Een medewerker van uw bedrijf ontvangt een e-mail van wat er uitziet als uw eigen IT-afdeling. De taal klopt, de naam klopt, het logo klopt. Er wordt gevraagd om snel in te loggen via een bijgevoegde link, omdat er een beveiligingsprobleem gesignaleerd is. De medewerker klikt, vult zijn gegevens in en gaat verder met zijn dag. Wat hij niet weet, is dat op dat moment een crimineel rustig toegang heeft gekregen tot zijn volledige Microsoft 365-account, inclusief al zijn e-mails, gedeelde bestanden en klantgegevens.
Herkent u dit scenario? Veel ondernemers in het MKB denken dat dit soort aanvallen voor hen niet relevant is. Maar de Autoriteit Persoonsgegevens (AP) publiceerde in 2025 een expliciete waarschuwing: accountovernames via AI-phishing zijn de snelst groeiende oorzaak van datalekken in Nederland. En het MKB staat bovenaan de lijst van kwetsbare doelwitten.
Wat maakt AI-phishing anders dan vroeger?
Vroeger herkende u een phishingmail aan slecht Nederlands, vreemde opmaak of een verdachte afzender. Die tijd is voorbij. Met de opkomst van kunstmatige intelligentie kunnen criminelen in seconden gepersonaliseerde, perfect geformuleerde berichten opstellen. Ze combineren openbaar beschikbare informatie, zoals uw LinkedIn-profiel, uw website of een recent persbericht, met eerder gestolen inloggegevens. Het resultaat is een bericht dat nauwelijks van echt te onderscheiden is.
De AP spreekt in dit verband van een 'vliegwieleffect'. AI maakt phishing effectiever. Effectievere phishing leidt tot meer accountovernames. Meer accountovernames leveren meer gestolen data op. En die gestolen data maakt de volgende phishingaanval weer overtuigender. Dit zichzelf versterkende mechanisme is precies waarom de toezichthouder de situatie als 'sterk zorgelijk' omschrijft.
Wat gebeurt er na een succesvolle accountovername?
Dit is het deel dat veel ondernemers verrast. Een accountovername is geen eenmalige inbraak waarbij de deur meteen weer dichtgaat. Criminelen werken subtiel en doelgericht. Ze lezen mee in uw e-mail, kopiëren stiekem bestanden, passen toegangsrechten aan en maken nieuwe accounts aan om toegang te houden, ook als het originele wachtwoord later wordt gewijzigd. Weken later ontvangt u misschien een melding van de AP over een datalek, terwijl u zich helemaal niet bewust was dat er iets mis was.
Bovendien stopt de schade niet bij uw eigen organisatie. De gestolen gegevens worden ingezet voor vervolgaanvallen op uw klanten, uw leveranciers of andere bedrijven waarmee u samenwerkt. Uw naam en reputatie worden misbruikt zonder dat u er iets van merkt.
Waarom het MKB extra kwetsbaar is
Grote organisaties hebben doorgaans een Security Operations Center, een team van specialisten dat logingedrag 24/7 monitort op afwijkingen. In het MKB ontbreekt die capaciteit vrijwel altijd. Accountovernames verlopen via legitieme inloggegevens, het verkeer ziet er uit als normaal gebruik. Zonder de juiste monitoringtools en centrale controle over accounts valt er weinig te ontdekken totdat de schade al is aangericht.
Tegelijkertijd beheren veel MKB-bedrijven hun Microsoft 365-omgeving op een manier die dateert uit de tijd dat cyberdreiging minder geavanceerd was. Accounts worden aangemaakt, maar zelden of nooit gecontroleerd op ongebruikelijke activiteit. Oud-medewerkers houden soms maanden hun toegang. Wachtwoorden worden hergebruikt. En multi-factor authenticatie is lang niet overal ingesteld.
Een klant van ons: herkenbaar verhaal uit de praktijk
Een klant van ons, een adviesbureau met zo'n vijftien medewerkers in de regio Tilburg, belde ons op een vrijdagmiddag in paniek. Een klant had gebeld dat hij een vreemde e-mail had ontvangen, ogenschijnlijk verstuurd door een van hun consultants, met daarin een verzoek om een factuur te betalen via een nieuwe bankrekening. De consultant in kwestie wist van niets.
Bij nader onderzoek bleek dat het e-mailaccount van die consultant al twee weken gecompromitteerd was. De aanvaller had de mailbox stilletjes gelezen, contacten bestudeerd en gewacht op het juiste moment. Gelukkig had de klant van het adviesbureau argwaan gekregen en niet betaald. Maar de schade aan het vertrouwen was er wel. En de meldplicht bij de AP ook.
Wat had dit kunnen voorkomen? Multi-factor authenticatie stond niet ingesteld op dat account. Er was geen monitoring op afwijkend logingedrag. En de medewerkers hadden geen recente training gehad in het herkennen van phishing. Drie relatief eenvoudige maatregelen, die samen het verschil hadden gemaakt.
De Ratho-driehoek: Mens, Proces en Techniek
Bij Ratho benaderen we dit soort vraagstukken altijd via de drie hoeken van onze aanpak: Mens, Proces en Techniek. Want een technische maatregel alleen is niet genoeg als uw mensen niet weten wat ze ermee moeten doen. En een bewuste medewerker redt het ook niet als de processen en toegangsrechten niet op orde zijn.
Mens: uw medewerkers zijn uw eerste verdedigingslinie
AI-phishing is zo effectief omdat het inspeelt op menselijk vertrouwen en tijdsdruk. De beste investering is daarom bewustwording. Niet een eenmalig verplicht cursusje, maar regelmatige, herkenbare trainingen waarbij medewerkers leren wat de signalen zijn van een verdachte mail, ook als die perfect geschreven is. Wij bieden interactieve workshops aan die aansluiten op hoe uw team Microsoft 365 en Teams dagelijks gebruikt. Want phishing arriveert via dezelfde kanalen als uw gewone communicatie.
Proces: centrale controle over wie toegang heeft tot wat
Weet u op dit moment precies welke accounts toegang hebben tot uw bedrijfssystemen? Zijn er oud-medewerkers die technisch gezien nog kunnen inloggen? Heeft iedereen toegang tot bestanden die ze eigenlijk niet nodig hebben? Centraal accountbeheer en duidelijke toegangsrechten zijn geen luxe, maar een basisvereiste. Wij helpen onze klanten om dit structureel in te richten, inclusief een datalekprotocol en de bijbehorende meldplicht richting de AP.
Techniek: MFA en monitoring als fundament
Multi-factor authenticatie is de meest effectieve technische maatregel tegen accountovernames. Zelfs als een crimineel uw wachtwoord heeft, kan hij zonder de tweede factor niet inloggen. Maar MFA alleen is niet voldoende. Monitoring op afwijkend logingedrag, zoals een medewerker die inlogt vanuit een onbekend land of op een ongebruikelijk tijdstip, maakt het mogelijk om snel in te grijpen voordat de schade escaleert. Wij implementeren en beheren dit soort maatregelen voor onze klanten als onderdeel van onze managed IT-dienstverlening.
Wat kunt u vandaag al doen?
U hoeft niet te wachten op een incident om actie te ondernemen. Hier zijn de stappen die wij bij elke klant als eerste doorlopen:
Schakel multi-factor authenticatie in op alle zakelijke accounts, te beginnen met Microsoft 365 en e-mail.
Controleer welke accounts nog actief zijn en verwijder accounts van oud-medewerkers direct.
Zorg dat medewerkers weten hoe ze een verdachte e-mail melden, intern en eenvoudig.
Richt loginmonitoring in zodat afwijkingen direct zichtbaar worden.
Leg vast wat uw procedure is als u een datalek vermoedt, inclusief de meldplicht bij de AP binnen 72 uur.
Geen van deze stappen vereist een groot IT-budget. Wat ze wel vereisen, is dat iemand de regie neemt en ze structureel doorvoert. Precies daar helpen wij bij.
Veelgestelde vragen
Hoe herken ik een AI-gegenereerde phishingmail?
Dat is juist het probleem: AI-phishing is nauwelijks te onderscheiden van echte communicatie. Let op onverwachte verzoeken om in te loggen, betalingen te doen of wachtwoorden te wijzigen, ook als de afzender vertrouwd lijkt. Bij twijfel: bel de afzender op het bekende telefoonnummer en vraag bevestiging. Klik nooit op een link in een mail om iets te 'controleren'.
Moet ik elk datalek melden bij de Autoriteit Persoonsgegevens?
Niet elk datalek hoeft gemeld te worden, maar bij een accountovername waarbij persoonsgegevens zijn ingezien of gekopieerd, is de kans groot dat u dit binnen 72 uur bij de AP moet melden. Daarnaast kan er ook een meldplicht richting de betrokkenen zijn. Wij adviseren onze klanten hier altijd in en helpen bij het opstellen van een datalekprotocol.
Is multi-factor authenticatie echt zo effectief?
Ja. Onderzoek toont consistent aan dat MFA meer dan 99 procent van de geautomatiseerde accountaanvallen blokkeert. Het is geen wondermiddel, maar het verhoogt de drempel voor een aanvaller enorm. Combineer het met bewustwording en monitoring voor de beste bescherming.
Wij zijn een klein bedrijf. Is dit allemaal niet te duur of te complex voor ons?
Juist voor kleinere organisaties is het belangrijk om slimme keuzes te maken met een beperkt budget. Veel basismaatregelen, zoals MFA en centraal accountbeheer, zijn al inbegrepen in een standaard Microsoft 365-licentie. Het gaat er vooral om dat ze ook daadwerkelijk zijn ingesteld en beheerd worden. Wij bieden IT-beheer op maat aan, afgestemd op de omvang en volwassenheid van uw organisatie. U betaalt voor wat u nodig heeft, niet meer.
Wil je weten waar jouw IT staat?
Plan een vrijblijvende sparringsessie - we kijken samen naar je security, beheer en groeiruimte.