Generatieve AI verandert cyberaanvallen niet fundamenteel. Het verandert de economie erachter. En daar zijn veel organisaties nog niet op ingericht.
Tijdens Cloud Expo 2025 liet Frank Benus van Abnormal Security iets zien wat ongemakkelijk simpel was: hoe je met vrij beschikbare generatieve AI in enkele minuten een overtuigende, hyperpersoonlijke phishingmail kunt opstellen. Geen geavanceerde tooling. Geen technische diepgang. Gewoon publieke informatie, een goed geformuleerde prompt en wat creativiteit.
Economische optimalisatie
Het verontrustende zat niet in de techniek. Het zat in de schaal. Phishing is namelijk niet nieuw. Spearphishing al helemaal niet. Wat nieuw is, is dat personalisatie geen kostbare investering meer is. Waar aanvallers vroeger moesten kiezen tussen massa of precisie, kunnen ze nu beide combineren. De kosten per aanval dalen drastisch, terwijl de potentiële opbrengst hoog blijft. Dat is geen technologische revolutie. Dat is een economische optimalisatie.
Aanvallers denken in rendement
En daar wringt het. Cybercrime opereert al jaren als een industrie. Aanvallers denken in rendement: impact maal kans van slagen, minus kosten. Generatieve AI drukt die kosten richting nul. Personalisatie wordt commodity. Taalbarrières verdwijnen. Culturele nuances worden automatisch meegenomen. Een CFO in Nederland, een salesdirecteur in de VS, een manager in Thailand; dezelfde prompt, andere output, allemaal geloofwaardig.
Awareness-training
Wat betekent dat voor organisaties die nog steeds vertrouwen op awareness-training en periodieke phishing-simulaties? Het ongemakkelijke antwoord is: te weinig.
Want zelfs goed getrainde medewerkers hebben drukke dagen. Afleiding. Context-switching. En precies daarop optimaliseert de moderne aanval. Niet op technische kwetsbaarheden, maar op menselijke waarschijnlijkheid.
Onvoorspelbare aanvallen
[Afbeelding: methodshop | Pixabay]
Daar komt een tweede probleem bij: veel e-mailsecurity is gebouwd op een wereld waarin aanvallen voorspelbaar waren. Reputatiescores, domeinvalidatie, sandboxing, threat intelligence-feeds. Het is allemaal waardevol, tot je de eerste bent die wordt aangevallen. Een nieuw domein heeft geen slechte reputatie. Een gecompromitteerde leverancier heeft geldige SPF- en DMARC-instellingen. Een slim gevarieerde payload omzeilt signature-detectie.
Traditionele beveiliging kijkt vooral naar wat een bericht ís. De aanval van nu draait om of een bericht logisch voelt. En dat is een fundamenteel verschil. Hier ontstaat het echte spanningsveld: AI versus AI. Zowel aanvallers als verdedigers beschikken over dezelfde onderliggende technologie. Grote taalmodellen zijn geen exclusief wapen. De vraag is dus niet wie “betere AI” heeft. De vraag is wie betere context heeft.
Intern gedragsinzicht
Aanvallers werken met publieke informatie. LinkedIn-profielen, persberichten, eventdeelnames. Verdedigers beschikken over iets waardevollers: intern gedragsinzicht. Wie communiceert normaal met wie? Welke applicaties gebruikt een finance-afdeling daadwerkelijk? Hoe ziet reguliere interactie met leveranciers eruit? Wat is patroon en wat is afwijking?
Als beveiliging die context begrijpt, verschuift detectie van statisch naar gedragsmatig. Van regelgedreven naar adaptief. Dat vraagt echter meer dan een extra securitytool. Het vraagt dat organisaties accepteren dat hun eigen interne data cruciaal is in de verdediging. Daarmee wordt dit geen puur IT-vraagstuk meer.
Strategisch risico
Wanneer één succesvolle Business Email Compromise miljoenen kan kosten, reputatieschade veroorzaakt en mogelijk zelfs beurswaarde beïnvloedt, verschuift phishing van operationeel incident naar strategisch risico. En strategisch risico hoort in de boardroom thuis.
Extra filters. Extra training. Extra policies.
Toch reageren veel organisaties nog steeds tactisch. Extra filters. Extra training. Extra policies. Terwijl de tegenpartij zijn kostenstructuur heeft geoptimaliseerd en opereert als een volwassen SaaS-model. Phishing-as-a-service is geen obscure darkweb-mythe meer, maar een professioneel ingerichte keten met tooling, support en schaalbaarheid. Dat is misschien wel de kern van de verschuiving: aanvallers denken als ondernemers. Veel verdedigers denken nog als systeembeheerders.
Minder afhankelijk
Generatieve AI heeft phishing niet slimmer gemaakt. Het heeft het efficiënter gemaakt. Winstgevender. Toegankelijker. Minder afhankelijk van technische expertise. En precies daardoor gevaarlijker.
De echte vraag voor organisaties is daarom niet of ze AI moeten inzetten in hun verdediging. De echte vraag is of hun security-architectuur begrijpt hoe hun eigen organisatie werkt, en of die kennis sneller evolueert dan het businessmodel van de aanvaller. Want in een economie waarin aanvalskosten dalen en potentiële impact stijgt, is stilstand geen neutrale positie. Het is een strategische keuze. En meestal niet de juiste.
AI phishing is niet slimmer, alleen dodelijk efficiënt
Generatieve AI verandert cyberaanvallen niet fundamenteel. Het verandert de economie erachter. En daar zijn veel organisaties nog niet op ingericht.
Tijdens Cloud Expo 2025 liet Frank Benus van Abnormal Security iets zien wat ongemakkelijk simpel was: hoe je met vrij beschikbare generatieve AI in enkele minuten een overtuigende, hyperpersoonlijke phishingmail kunt opstellen. Geen geavanceerde tooling. Geen technische diepgang. Gewoon publieke informatie, een goed geformuleerde prompt en wat creativiteit.
Economische optimalisatie
Het verontrustende zat niet in de techniek. Het zat in de schaal. Phishing is namelijk niet nieuw. Spearphishing al helemaal niet. Wat nieuw is, is dat personalisatie geen kostbare investering meer is. Waar aanvallers vroeger moesten kiezen tussen massa of precisie, kunnen ze nu beide combineren. De kosten per aanval dalen drastisch, terwijl de potentiële opbrengst hoog blijft. Dat is geen technologische revolutie. Dat is een economische optimalisatie.
En daar wringt het. Cybercrime opereert al jaren als een industrie. Aanvallers denken in rendement: impact maal kans van slagen, minus kosten. Generatieve AI drukt die kosten richting nul. Personalisatie wordt commodity. Taalbarrières verdwijnen. Culturele nuances worden automatisch meegenomen. Een CFO in Nederland, een salesdirecteur in de VS, een manager in Thailand; dezelfde prompt, andere output, allemaal geloofwaardig.
Awareness-training
Wat betekent dat voor organisaties die nog steeds vertrouwen op awareness-training en periodieke phishing-simulaties? Het ongemakkelijke antwoord is: te weinig.
Want zelfs goed getrainde medewerkers hebben drukke dagen. Afleiding. Context-switching. En precies daarop optimaliseert de moderne aanval. Niet op technische kwetsbaarheden, maar op menselijke waarschijnlijkheid.
Onvoorspelbare aanvallen
Daar komt een tweede probleem bij: veel e-mailsecurity is gebouwd op een wereld waarin aanvallen voorspelbaar waren. Reputatiescores, domeinvalidatie, sandboxing, threat intelligence-feeds. Het is allemaal waardevol, tot je de eerste bent die wordt aangevallen. Een nieuw domein heeft geen slechte reputatie. Een gecompromitteerde leverancier heeft geldige SPF- en DMARC-instellingen. Een slim gevarieerde payload omzeilt signature-detectie.
Traditionele beveiliging kijkt vooral naar wat een bericht ís. De aanval van nu draait om of een bericht logisch voelt. En dat is een fundamenteel verschil. Hier ontstaat het echte spanningsveld: AI versus AI. Zowel aanvallers als verdedigers beschikken over dezelfde onderliggende technologie. Grote taalmodellen zijn geen exclusief wapen. De vraag is dus niet wie “betere AI” heeft. De vraag is wie betere context heeft.
Intern gedragsinzicht
Aanvallers werken met publieke informatie. LinkedIn-profielen, persberichten, eventdeelnames. Verdedigers beschikken over iets waardevollers: intern gedragsinzicht. Wie communiceert normaal met wie? Welke applicaties gebruikt een finance-afdeling daadwerkelijk? Hoe ziet reguliere interactie met leveranciers eruit? Wat is patroon en wat is afwijking?
Als beveiliging die context begrijpt, verschuift detectie van statisch naar gedragsmatig. Van regelgedreven naar adaptief. Dat vraagt echter meer dan een extra securitytool. Het vraagt dat organisaties accepteren dat hun eigen interne data cruciaal is in de verdediging. Daarmee wordt dit geen puur IT-vraagstuk meer.
Strategisch risico
Wanneer één succesvolle Business Email Compromise miljoenen kan kosten, reputatieschade veroorzaakt en mogelijk zelfs beurswaarde beïnvloedt, verschuift phishing van operationeel incident naar strategisch risico. En strategisch risico hoort in de boardroom thuis.
Toch reageren veel organisaties nog steeds tactisch. Extra filters. Extra training. Extra policies. Terwijl de tegenpartij zijn kostenstructuur heeft geoptimaliseerd en opereert als een volwassen SaaS-model. Phishing-as-a-service is geen obscure darkweb-mythe meer, maar een professioneel ingerichte keten met tooling, support en schaalbaarheid. Dat is misschien wel de kern van de verschuiving: aanvallers denken als ondernemers. Veel verdedigers denken nog als systeembeheerders.
Minder afhankelijk
Generatieve AI heeft phishing niet slimmer gemaakt. Het heeft het efficiënter gemaakt. Winstgevender. Toegankelijker. Minder afhankelijk van technische expertise. En precies daardoor gevaarlijker.
De echte vraag voor organisaties is daarom niet of ze AI moeten inzetten in hun verdediging. De echte vraag is of hun security-architectuur begrijpt hoe hun eigen organisatie werkt, en of die kennis sneller evolueert dan het businessmodel van de aanvaller. Want in een economie waarin aanvalskosten dalen en potentiële impact stijgt, is stilstand geen neutrale positie. Het is een strategische keuze. En meestal niet de juiste.