In januari 2024 maakte een financieel medewerker van het Britse ingenieursbureau Arup 25 miljoen dollar over naar criminelen. Niet na een phishing-mail of een gehackt account, maar na een overtuigende deepfake-videocall waarin meerdere "collega's" opdracht gaven tot de transactie. Elke persoon in de call was nep. De stemmen, de gezichten, de achtergrond: alles was gegenereerd door AI. Het duurde weken voordat het bedrijf doorhad wat er was gebeurd.
Dit is geen sciencefiction. Deepfake-fraude is een van de snelst groeiende cyberrisico's voor het bedrijfsleven. In 2025 rapporteerde de FBI wereldwijd meer dan 2,7 miljard dollar schade door Business Email Compromise met deepfake-componenten. Volgens het Deloitte Center for Financial Services kunnen AI-gegenereerde fraude-verliezen in de Amerikaanse financiële sector oplopen tot USD 40 miljard tegen 2027 — een groei van 32% per jaar. In Nederland registreerde de politie minimaal 340 gevallen met een gemiddelde schade van EUR 180.000 per incident. En dat zijn alleen de gemelde gevallen.
In onze AI-veiligheid voor bedrijven: de complete gids behandelen we het bredere landschap van AI-gerelateerde bedreigingen.
Wat Zijn Deepfakes en Hoe Worden Ze Gemaakt?
Deepfakes zijn door AI gegenereerde of gemanipuleerde media (video, audio of afbeeldingen) die zo realistisch zijn dat ze met het blote oog nauwelijks te onderscheiden zijn van authentiek materiaal. De term is een samentrekking van "deep learning" en "fake".
Hoe het technisch werkt:
- Generative Adversarial Networks (GANs): Twee neurale netwerken werken samen. Het ene genereert nep-content, het andere beoordeelt of het echt lijkt. Ze verbeteren elkaar totdat de output niet meer van echt te onderscheiden is
- Autoencoders: Een neuraal netwerk leert het gezicht van persoon A te "comprimeren" en te "reconstrueren" met de gezichtskenmerken van persoon B
- Voice cloning: Met slechts 3 seconden spraakmateriaal kan AI een overtuigende stemkloon maken die zinnen uitspreekt die de echte persoon nooit heeft gezegd
- Lip-sync modellen: AI past lipbewegingen aan zodat een video precies synchroniseert met willekeurige audio
De drempel is verdwenen. Deepfake-tools zijn beschikbaar als online dienst voor EUR 10 per maand. Een overtuigende deepfake-video maak je in minder dan 3 minuten. De Nederlandse startup DuckDuckGoose, gespecialiseerd in deepfake-detectie, waarschuwt dat de kwaliteit van deepfakes sneller verbetert dan de detectie.
| Jaar | Kwaliteit | Benodigde expertise | Kosten | Productietijd |
|---|---|---|---|---|
| 2020 | Duidelijk herkenbaar | Hoog (ML-kennis vereist) | EUR 5.000+ | Uren tot dagen |
| 2022 | Realistisch bij korte clips | Gemiddeld | EUR 500-1.000 | 30-60 minuten |
| 2024 | Real-time video en audio | Laag (online tools) | EUR 10-50/maand | 3-10 minuten |
| 2026 | Vrijwel niet te onderscheiden | Minimaal (mobiele app) | Gratis tot EUR 20/maand | Seconden |
De 5 Grootste Deepfake-Risico's voor Bedrijven
Deepfakes raken bedrijven op vijf fundamentele manieren. Elk risico heeft een ander aanvalsvector, een ander slachtoffer en een andere schadeomvang.
| Risicotype | Aanvalsmethode | Typisch doelwit | Gemiddelde schade |
|---|---|---|---|
| CEO-fraud / BEC | Deepfake video- of audiocall met "directielid" | Finance-afdeling | EUR 50.000 - EUR 25 miljoen |
| Identiteitsfraude | Deepfake video-identificatie bij KYC/onboarding | HR, compliance | EUR 20.000 - EUR 500.000 |
| Reputatieschade | Nepvideo van bestuurder met schokkende uitspraken | C-level, PR | EUR 100.000 - miljoenen (beurskoers) |
| Leveranciersfraude | Nabootsing leverancier om betalingsgegevens te wijzigen | Inkoop, finance | EUR 10.000 - EUR 200.000 |
| Concurrentiesabotage | Deepfake reviews, testimonials of productdemo's | Marketing, sales | Onbecijferbaar (marktaandeel) |
CEO-fraud: het grootste directe financiele risico
De Hong Kong-case van 25 miljoen dollar (CNN, februari 2024) is het bekendste voorbeeld, maar het is geen uitzondering. Europol waarschuwt in het Internet Organised Crime Threat Assessment (IOCTA) dat deepfake-technologie inmiddels een vast instrument is in georganiseerde fraude-netwerken, met name voor CEO-fraud en invoice-manipulatie. Bij CEO-fraud ontvangen financiele medewerkers een ogenschijnlijk legitieme opdracht van een directielid:
- Deepfake voicemail: Een nagemaakt audiobericht van de CEO met een spoedoverboeking
- Deepfake videocall: Een nepvideogesprek met meerdere "collega's" die de transactie bevestigen
- Deepfake voicecall: Een telefoongesprek met de stem van een directielid dat afwijkt van standaardprocedures
De FBI waarschuwt dat deepfake-BEC in 2025 verantwoordelijk was voor meer dan 2,7 miljard dollar schade wereldwijd.
Identiteitsfraude bij onboarding en KYC
Deepfakes worden steeds vaker ingezet om identiteitsverificatie te omzeilen. Het Sumsub Identity Fraud Report signaleert dat het aandeel deepfake-aanvallen op KYC-onboarding in twee jaar met meer dan 700% is gestegen en dat crypto en fintech de meest getroffen sectoren zijn:
- KYC-fraude: Deepfake video-identificatie om bankrekeningen te openen op naam van fictieve personen
- HR-fraude: Fictieve kandidaten die via deepfake-videosollicitaties toegang proberen te krijgen tot bedrijfssystemen
- Remote access fraude: Deepfake van een bestaande medewerker om IT-ondersteuning te misleiden voor systeemtoegang
Reputatieschade en marktmanipulatie
Een deepfake-video van jouw CEO die racistische opmerkingen maakt of fraude bekent, kan binnen uren viraal gaan. De schade aan je merkwaarde, beurskoers en klantvertrouwen is dan al aangericht voordat je kunt reageren. In 2025 werden meerdere beursgenoteerde bedrijven getroffen door deepfake-nieuwsberichten die tijdelijke koersdalingen van 3-8% veroorzaakten.
Hoe Herken Je een Deepfake?
Het herkennen van deepfakes wordt steeds moeilijker, maar er zijn nog altijd signalen die je kunt opmerken. Gebruik deze checklist bij verdachte video- of audiocommunicatie.
Visuele checklist voor video-deepfakes:
- Onnatuurlijk knippergedrag - Te weinig, te regelmatig of afwezig knipperen
- Lipsynchronisatie - Subtiele vertraging tussen audio en lipbeweging
- Huidtextuur - Te glad, te perfect of juist onnatuurlijk gedetailleerd
- Haargrens en oren - Vreemde overgangen, flikkering of vervorming
- Belichting - Inconsistente schaduwen tussen gezicht en achtergrond
- Brillen en reflecties - Ontbrekende of onrealistische spiegelingen in brillenglazen
- Achtergrond - Onnatuurlijke blur of artefacten rond het hoofd
- Bewegingsartefacten - Korte glitches bij snelle hoofdbewegingen
Audio-checklist voor stem-deepfakes:
- Ademhaling - Onnatuurlijke pauzes, geen hoorbare ademhaling
- Metalige ondertoon - Subtiel robotachtig of synthetisch geluid
- Emotie - Vlakke of overdreven emotie die niet bij de context past
- Achtergrondgeluid - Te stil of inconsistente achtergrondgeluiden
- Taalgebruik - Woordkeuze of uitdrukkingen die de persoon nooit zou gebruiken
- Vulstoffen - Ontbreken van "eh", "uhm" of andere natuurlijke pauzes
Contextchecklist (belangrijker dan technische signalen):
- Urgentie - Wordt er druk gezet om snel te handelen?
- Afwijking van procedure - Wijkt het verzoek af van standaardprocessen?
- Ongebruikelijk kanaal - Komt het via een onverwacht communicatiemiddel?
- Onverifieerbaar - Kun je de persoon niet via een ander kanaal bereiken?
Detectie-Tools Vergelijken
Naast menselijke waarneming zijn er gespecialiseerde tools die deepfakes detecteren. Hieronder een vergelijking van vijf toonaangevende oplossingen.
| Tool | Type detectie | Real-time | Nauwkeurigheid | Prijs (indicatief) | Geschikt voor |
|---|---|---|---|---|---|
| DuckDuckGoose (NL) | AI-analyse video + audio | Ja | 94-98% | Vanaf EUR 500/maand | MKB, enterprise |
| Sensity AI | Deep learning multimodaal | Ja | 95-99% | Vanaf EUR 1.000/maand | Enterprise, financials |
| Intel FakeCatcher | Bloedstroomanalyse (PPG) | Ja | 96% | Op aanvraag | Enterprise |
| Microsoft Video Authenticator | Manipulatie-artefactanalyse | Nee (batch) | 90-95% | Gratis (beperkt) | MKB, orienterend |
| Deepware Scanner | Open-source CNN-analyse | Nee (upload) | 85-92% | Gratis | Kleinbedrijf, educatie |
Belangrijk: Geen enkele tool biedt 100% zekerheid. De kwaliteit van deepfakes evolueert sneller dan de detectie. Gebruik tools als aanvulling op procedurele maatregelen, niet als vervanging.
De Nederlandse startup DuckDuckGoose (opgericht in Amsterdam) verdient bijzondere aandacht. Het bedrijf is gespecialiseerd in real-time deepfake-detectie voor zakelijke omgevingen en wordt inmiddels door meerdere Nederlandse banken en overheidsinstellingen ingezet. Hun technologie analyseert micro-expressies, bloedstroompatronen en compressie-artefacten gelijktijdig.
Beschermingsmaatregelen voor Jouw Bedrijf
Effectieve bescherming tegen deepfakes combineert mensen, processen en technologie. Hieronder de belangrijkste maatregelen per laag.
Laag 1: Bewustwording en training
- Basistraining voor alle medewerkers: Wat zijn deepfakes, hoe worden ze ingezet bij fraude, en wat moet je doen bij een vermoeden?
- Verdiepingstraining voor risicogroepen: Financiele medewerkers, HR, klantenservice en management krijgen extra training met actuele voorbeelden
- Kwartaalupdate: Deepfake-technologie evolueert snel. Plan minimaal vier keer per jaar een update met nieuwe voorbeelden en technieken
- Phishing-simulaties met deepfake-component: Test of medewerkers deepfake-pogingen herkennen met gecontroleerde simulaties
Laag 2: Procedurele maatregelen
Multi-channel verificatie is de belangrijkste verdedigingslinie:
- Financiele transacties boven EUR 5.000: Verificatie via een tweede, onafhankelijk kanaal (terugbellen op een bekend nummer)
- Vier-ogenprincipe: Transacties boven EUR 10.000 vereisen goedkeuring van twee personen
- Callback-procedure: Altijd terugbellen op een vooraf geregistreerd nummer, nooit op het nummer van een inkomende call
- Challenge-response: Stel een vraag die alleen de echte persoon kan beantwoorden (en die niet op social media staat)
- Codewoorden: Gebruik een wisselend codewoord voor gevoelige communicatie
Laag 3: Technische maatregelen
- E-mailbeveiliging: DMARC, DKIM en SPF configureren. Waarschuwingsbanners bij externe e-mails
- Communicatieplatforms: Versleutelde, geauthenticeerde kanalen voor gevoelige communicatie
- Deepfake-detectietools: Implementeer detectie bij identiteitsverificatie en videocalls
- Social media monitoring: Brand monitoring op nepaccounts, gemanipuleerde content en deepfake-video's met jouw merk of bestuurders
- Content authenticatie: Implementeer de C2PA-standaard (Coalition for Content Provenance and Authenticity, mede ontwikkeld door Adobe, Microsoft, BBC en Intel) voor herkomstverificatie van media. Deze open specificatie koppelt cryptografische metadata aan elke foto of video zodat herkomst en bewerkingen traceerbaar blijven
Laag 4: Incidentrespons
Maak een specifiek protocol voor deepfake-incidenten:
- Stop de transactie of het proces onmiddellijk
- Verifieer de identiteit via een bewezen kanaal
- Documenteer het incident en bewaar het deepfake-materiaal
- Meld intern aan de security officer en directie
- Escaleer bij financiele schade: direct contact met de bank voor mogelijke terugboeking
- Communiceer bij reputatieschade: activeer het crisiscommunicatieteam en publiceer een verklaring
- Rapporteer doe aangifte bij de politie (deepfake-fraude is strafbaar onder oplichting, valsheid in geschrifte en computervredebreuk)
Veelgemaakte Fouten
Fout 1: "Wij zijn te klein voor een deepfake-aanval." MKB-bedrijven zijn juist aantrekkelijke doelwitten. Ze hebben vaak minder beveiligingsprocedures, minder awareness-training en minder technische detectie. Criminelen kiezen het pad van de minste weerstand.
Fout 2: "Onze medewerkers herkennen deepfakes wel." Onderzoek van University College London toont aan dat mensen deepfakes in slechts 50-60% van de gevallen correct identificeren. Bij gecomprimeerde video (zoals in videocalls) daalt dit naar onder de 50%. Vertrouw nooit alleen op menselijke waarneming.
Fout 3: "We hebben een deepfake-detectietool, dus we zijn beschermd." Detectietools zijn een aanvulling, geen oplossing. Geen enkele tool biedt 100% zekerheid, en de kwaliteit van deepfakes evolueert continu. Procedurele maatregelen (multi-channel verificatie, vier-ogenprincipe) zijn minstens zo belangrijk.
Fout 4: "We wachten tot er wetgeving komt." De EU AI Act Artikel 50 stelt expliciete transparantie-eisen aan deepfake-technologie: aanbieders en gebruikers moeten AI-gegenereerde content duidelijk labelen als kunstmatig. Dit beschermt jouw bedrijf echter niet actief tegen aanvallen — criminelen houden zich niet aan disclosure-verplichtingen. Je bent zelf verantwoordelijk voor je beveiligingsmaatregelen. Wachten op wetgeving is wachten op schade.
Fout 5: "Een incidentresponsplan is overdreven voor ons." Zonder plan duurt het gemiddeld 4-7 dagen langer om een deepfake-incident te beheersen. Bij financiele fraude kan elke dag uitstel het verschil betekenen tussen een succesvolle en een mislukte terugboeking. Bij reputatieschade bepalen de eerste uren of een crisis beheersbaar blijft.
Actieplan: Deepfake-Bescherming Implementeren
Deze week
- Informeer het managementteam over deepfake-risico's met concrete voorbeelden (Hong Kong-case, Nederlandse cijfers)
- Stel een verificatieprocedure in voor financiele transacties boven EUR 5.000: altijd terugbellen op een bekend nummer
- Configureer DMARC, DKIM en SPF voor alle zakelijke e-maildomeinen
- Voeg waarschuwingsbanners toe aan externe e-mails in je mailserver
Deze maand
- Organiseer een bewustwordingssessie voor alle medewerkers met live deepfake-demonstratie
- Stel een incidentresponsplan op specifiek voor deepfake-fraude (7 stappen hierboven)
- Implementeer callback-procedures voor alle betalingswijzigingen van leveranciers
- Review je cyberverzekeringspolis op deepfake-dekking (vraag specifiek naar social engineering coverage)
Dit kwartaal
- Implementeer deepfake-detectietools voor identiteitsverificatie en KYC-processen
- Start social media en brand monitoring op deepfake-content met jouw merk of bestuurders
- Train risicogroepen (finance, HR, klantenservice) met sector-specifieke scenario's
- Test het incidentresponsplan met een realistische deepfake-simulatie
- Evalueer C2PA-implementatie voor authenticatie van jouw eigen media-uitingen
Deepfakes zijn geen sciencefiction meer
Deepfakes zijn geen toekomstscenario. Het is een actueel bedrijfsrisico dat elk jaar goedkoper, toegankelijker en overtuigender wordt. De schade van een enkele succesvolle aanval kan variaren van tienduizenden tot miljoenen euro's, en de meeste organisaties zijn onvoldoende voorbereid.
Het goede nieuws: bescherming is mogelijk. De meest effectieve maatregel is ook de eenvoudigste: verifieer altijd via een tweede kanaal. Geen enkele overboeking op basis van alleen een telefoontje of videocall, hoe overtuigend het ook klinkt. Die ene regel kan jouw organisatie miljoenen besparen.
Combineer die procedurele basis met bewustwording, training en technische detectie, en je verkleint het risico aanzienlijk. De vraag is niet of jouw bedrijf doelwit wordt van een deepfake-aanval, maar wanneer. En wanneer het zover is, wil je voorbereid zijn.
Wil je jouw organisatie beschermen tegen deepfake-fraude en andere AI-gerelateerde bedreigingen? Lees onze praktijkgids AI-veiligheid voor een complete aanpak van AI-risicobeheer.
Opgesteld met AI-tools en gecontroleerd door het redactieteam van CleverTech — tech-leads met ervaring in AI, procesautomatisering en IT-consulting.