Phishing werd vroeger vaak herkend aan slechte vertalingen, vreemde zinnen en rommelige opmaak. Die signalen bestaan nog steeds, maar ze worden minder betrouwbaar. Met AI kunnen aanvallers sneller nette, geloofwaardige en persoonlijke berichten maken.
Een phishingmail hoeft daardoor niet meer vol fouten te staan. De tekst kan vloeiend zijn, de toon kan zakelijk klinken en het bericht kan aansluiten op een specifieke functie of sector. Dat maakt herkennen lastiger, vooral voor medewerkers die nog vooral letten op taal- en spelfouten.
AI verandert niet het basisdoel van phishing. Aanvallers willen nog steeds dat iemand klikt, inlogt, betaalt, gegevens deelt of een bestand opent. Wat verandert, is de kwaliteit en schaal waarop berichten kunnen worden gemaakt.
Waarom AI phishing sterker maakt
AI kan helpen om teksten natuurlijker te maken. Een aanvaller kan een ruwe phishingtekst laten herschrijven in goed Nederlands, met een professionele toon en zonder opvallende fouten. Ook kan de tekst worden aangepast aan een doelgroep, bijvoorbeeld HR, finance, sales of IT.
Daarnaast maakt AI variatie makkelijker. In plaats van een standaardmail naar duizenden mensen te sturen, kan een aanvaller meerdere versies maken. Een bericht voor een financieel medewerker kan gaan over een factuur. Een bericht voor HR kan gaan over een sollicitant of personeelsdocument. Een bericht voor een manager kan verwijzen naar planning of rapportages.
Die context hoeft niet altijd diep te zijn. Een paar openbare gegevens van een website of LinkedIn-profiel kunnen al genoeg zijn om een bericht persoonlijker te laten voelen.
Persoonlijk betekent niet veilig
Veel mensen vertrouwen een bericht sneller als het persoonlijke details bevat. Een echte functietitel, de naam van een collega of een verwijzing naar een project kan overtuigend zijn. Toch is persoonlijke context geen bewijs dat een bericht echt is.
Veel informatie over organisaties is openbaar. Websites tonen medewerkers, diensten, klanten, vacatures en nieuws. LinkedIn laat zien wie waar werkt en welke functie iemand heeft. Aanvallers kunnen die informatie gebruiken om berichten geloofwaardiger te maken.
Daarom moeten medewerkers vooral letten op het verzoek. Moet je inloggen? Moet je betalen? Moet je gegevens delen? Wordt er druk gezet? Gaat het via een ongebruikelijke route? Die vragen blijven belangrijk, ook als de tekst perfect geschreven is.
Oude controlevragen blijven waardevol
AI maakt phishing beter, maar niet onherkenbaar. Het bericht moet nog steeds iemand tot actie bewegen. Dat betekent dat er vaak signalen blijven bestaan: urgentie, afwijkende processen, onverwachte bijlagen, links naar inlogpagina's of verzoeken om gevoelige informatie.
Het verschil is dat medewerkers minder op vorm moeten vertrouwen en meer op gedrag. Niet: ziet deze mail er professioneel uit? Maar: klopt het dat ik dit nu moet doen via deze route?
Training moet realistischer worden
Als phishing realistischer wordt, moeten voorbeelden in training ook realistischer worden. Overduidelijke nepmails zijn nuttig voor beginners, maar ze bereiden medewerkers niet genoeg voor op moderne aanvallen. Mensen moeten oefenen met berichten die echt in hun inbox zouden kunnen staan.
Dat betekent niet dat training ingewikkeld moet worden. Korte scenario's kunnen juist goed werken, zolang ze herkenbaar zijn. Een nette mail van een leverancier, een professioneel ogende Microsoft-melding of een persoonlijk verzoek via LinkedIn kan genoeg zijn om het juiste gesprek op gang te brengen.
Blijf kijken naar de actie
AI verandert de verpakking, maar niet de kern. Phishing blijft draaien om een actie die voor de aanvaller waardevol is. Klikken, inloggen, downloaden, betalen of gegevens delen. Wie leert om die momenten te herkennen, blijft beter beschermd.
De vraag is dus niet meer of een bericht er nep uitziet. De vraag is of het verzoek logisch, verwacht en veilig is. Die manier van kijken wordt steeds belangrijker naarmate phishing overtuigender wordt.
Pas de meetlat aan
De vraag is niet meer of een bericht slecht geschreven is. De vraag is of het verzoek past bij de normale werkwijze. Organisaties doen er goed aan om medewerkers te trainen op context, proces en actie. Daarmee blijft phishing herkenbaar, ook wanneer de tekst steeds beter wordt.