Uw telefoon gaat. Het is uw CEO, met een dringende vraag: een strategische overname moet binnen het uur worden afgerond. De stem is onmiskenbaar die van uw baas. Toch is het gesprek nep. Met drie seconden audio kan AI tegenwoordig elke stem perfect nabootsen. In 2025 is dit geen sciencefiction meer, maar een dagelijkse realiteit voor Vlaamse bedrijven.
Wat is deepfake CEO-fraude?
Bij deepfake CEO-fraude bootsen criminelen de stem (en soms het beeld) van een leidinggevende na met behulp van kunstmatige intelligentie. Het doel? Een medewerker overhalen om geld over te maken of gevoelige informatie vrij te geven.
Waar klassieke CEO-fraude via e-mail werkte (en vaak doorprikt werd door spelfouten of vreemde e-mailadressen), gebruikt de nieuwe generatie oplichters voice cloning. Het menselijk brein is evolutionair geprogrammeerd om een bekende stem te vertrouwen. Wanneer u de stem van uw baas herkent, schakelt uw kritische denkvermogen deels uit. Precies daar maken aanvallers misbruik van.
De cijfers spreken boekdelen: in het eerste kwartaal van 2025 bedroegen de wereldwijde verliezen door deepfake-fraude meer dan $200 miljoen. Deepfake-aanvallen tegen bedrijven stegen met 3.000% ten opzichte van twee jaar geleden.
Voice cloning in 2026: drie seconden audio volstaan
“Hoe makkelijk is het om een stem na te maken?” Het antwoord is verontrustend: triviaal eenvoudig.
Waar enkele jaren geleden nog uren studiokwaliteit opnames nodig waren, volstaan vandaag drie seconden audio om een overtuigende stemkloon te maken. Die drie seconden haalt een aanvaller moeiteloos uit:
- Een LinkedIn-video of podcast-interview
- Een voicemailbegroeting
- Een Instagram Story of TikTok-fragment
- Een webinar of presentatie
Onderzoekers toonden aan dat ze met slechts drie seconden audio een kloon konden produceren met 85% stemovereenkomst. Via een telefoonlijn is dat ruim voldoende om iemand te misleiden.
De tools zijn bovendien spotgoedkoop: commerciële voice cloning-software is beschikbaar vanaf €10 per maand. Op het dark web circuleren zelfs gratis alternatieven. De technologie die ooit voorbehouden was aan inlichtingendiensten, is nu toegankelijk voor iedereen met een internetverbinding.
Recente incidenten: van $25 miljoen tot verijdelde pogingen
Ingenieursbureau Arup: $25 miljoen weg via een nep-videocall
Dit incident geldt als een waterscheiding. Een medewerker van de financiële afdeling in Hongkong ontving een verzoek van de CFO om een geheime transactie uit te voeren. Toen de medewerker twijfelde, werd hij uitgenodigd voor een videovergadering.
In die vergadering zag hij niet alleen de CFO, maar ook andere senior leidinggevenden. Iedereen in de call was een deepfake. Overtuigd door wat hij zag en hoorde, voerde de medewerker 15 transacties uit naar vijf bankrekeningen. Totale schade: $25 miljoen.
WPP: een poging die mislukte
Bij WPP, ’s werelds grootste reclamebedrijf, bootsten aanvallers de stem van CEO Mark Read na. Ze zetten een Microsoft Teams-vergadering op met een voice clone en videobeelden uit een YouTube-interview. De aanval mislukte omdat medewerkers alert waren en de juiste vragen stelden. Er ging geen cent verloren.
Ferrari en Singapore: het patroon herhaalt zich
Ook luxemerk Ferrari en een multinational in Singapore werden recent doelwit van vergelijkbare aanvallen. Het patroon is steeds hetzelfde: urgentie creëren, autoriteit claimen en via een vertrouwde stem een financiële transactie afdwingen.
Bescherm uw bedrijf met deze vier maatregelen
Omdat technologie feilbaar is en deepfakes steeds beter worden, moet de verdediging primair procedureel zijn. Ga ervan uit dat uw oren en ogen u kunnen bedriegen.
1. Stel een codewoord in
Spreek offline (face-to-face) een geheim codewoord af met uw financiële team en directie. Bij elk dringend financieel verzoek vraagt de medewerker om dit woord. Kies iets willekeurigs dat niet te raden is via social media, zoals “Blauwe Flamingo”.
Cruciaal: creëer een bedrijfscultuur waarin junior medewerkers zich veilig voelen om een senior leidinggevende uit te dagen. Een CEO die boos wordt wanneer iemand het codewoord vraagt, is een veiligheidsrisico.
2. Bel altijd terug op een geverifieerd nummer
Vertrouw nooit het kanaal waarlangs het verzoek binnenkomt. Krijgt u een dringende oproep van uw CEO? Hang op en bel terug naar het nummer dat u kent uit uw interne adresboek. Voice spoofing kan het nummer op uw scherm vervalsen, maar kan de inkomende lijn van de echte CEO niet overnemen.
3. Pas het vier-ogen-principe toe
Zorg dat geen enkele persoon, ook de CEO niet, eigenhandig grote bedragen kan overmaken. Elke transactie boven een bepaald bedrag (bijvoorbeeld €5.000) vereist digitale goedkeuring van twee afzonderlijke personen via twee verschillende apparaten.
4. Train uw team met realistische simulaties
Jaarlijks een phishing-test via e-mail volstaat niet meer. Overweeg vishing-simulaties waarbij medewerkers worden gebeld door ethische hackers. Zo ervaren ze de stress van een aanval in een veilige omgeving.
Via de Vlaamse KMO-portefeuille kunnen kleine ondernemingen tot 45% subsidie krijgen voor cybersecurity-opleidingen en -advies. Een investering die zichzelf terugbetaalt bij de eerste verijdelde aanval.
Veelgestelde vragen over deepfake CEO-fraude
Hoe herken ik een deepfake-telefoongesprek?
Dat is het probleem: in 2025 zijn de meeste deepfakes via telefoon niet meer te onderscheiden van echte gesprekken. Vertrouw daarom niet op uw oren, maar op procedures zoals een codewoord en callback.
Is mijn bedrijf te klein om doelwit te zijn?
Nee. Criminelen richten zich steeds vaker op middelgrote bedrijven omdat die vaak minder strenge verificatieprocessen hebben dan multinationals. Bedragen van €50.000 tot €500.000 zijn aantrekkelijk genoeg.
Dekt mijn cyberverzekering schade door deepfake-fraude?
Niet automatisch. Standaard cyberverzekeringen dekken vaak “inbraak in systemen”, maar bij CEO-fraude maakt een medewerker het geld vrijwillig over. Controleer of uw polis expliciet “Social Engineering Fraude” of “Impersonation Fraud” dekt.
Waar kan ik een deepfake-aanval melden?
In België kunt u aangifte doen bij de lokale politie en contact opnemen met het Centre for Cybersecurity Belgium (CCB). Neem ook onmiddellijk contact op met uw bank om de transactie te blokkeren.
Wat kost het om mijn team te trainen tegen vishing?
Via de KMO-portefeuille krijgen Vlaamse KMO’s tot 45% subsidie op erkende cybersecurity-trainingen. De netto-investering voor een awareness-programma ligt daardoor vaak lager dan verwacht.
Wacht niet tot het misgaat
In een tijdperk waarin drie seconden audio volstaan om uw stem te stelen, is vertrouwen een kwetsbaarheid. De enige zekerheid ligt in duidelijke procedures en getrainde medewerkers.
Wilt u weten hoe kwetsbaar uw organisatie is voor voice cloning en CEO-fraude? Plan een vrijblijvend gesprek met één van onze security-experts. Samen bekijken we welke maatregelen het beste passen bij uw bedrijf.
