Hoe generatieve AI de oude phishing-tells onbruikbaar heeft gemaakt, en waarom de jaarlijkse training van je medewerkers dit niet meer aankan.

Vorige week kreeg een Antwerpse zaakvoerder een spraakbericht via WhatsApp. Het was zijn CFO. Stem klopte, intonatie klopte, zelfs het kuchje aan het einde van de zin klopte. "Kan je voor mij dringend 47.500 euro overschrijven naar deze leverancier? Ik zit in een vergadering, leg het straks uit." De zaakvoerder twijfelde geen seconde. Het geld was binnen tien minuten weg. Twee uur later belde hij zijn CFO over iets anders, en kwam de aap uit de mouw.

Dit is geen geïsoleerd verhaal. Het is wat anno 2026 elke week in Belgische bedrijven gebeurt, vaak zonder dat het in het nieuws komt omdat niemand er graag mee uitpak

Waarom phishing er ineens zo anders uitziet

Tot enkele jaren geleden konden we onze medewerkers leren wat ze moesten zoeken. Schrijffouten in de mail. Een vreemd domein in het emailadres. Een formulering die niet klonk zoals iemand uit ons land het zou zeggen. "De Nigeriaanse prins" werd het standaard-grapje voor onhandige phishing-pogingen.

Drie technologische verschuivingen hebben dat herkenningssysteem stuk gemaakt.

Generatieve AI heeft taalfouten weggepoetst. Een phishing-mail uit 2026 is in correct Nederlands geschreven, met aandacht voor je sector, naar je CFO of HR-directeur, en met verwijzing naar een echte recente gebeurtenis in je organisatie (gevonden op LinkedIn of jullie website). De typische tells, die we tien jaar lang trainden, zijn weg.

Voice cloning is consumentenwaar geworden. Voor minder dan 30 euro kunnen aanvallers een geloofwaardige kopie maken van je stem op basis van 30 seconden geluid uit een YouTube-interview, een podcast of zelfs een spraakbericht dat je ooit hebt verzonden. Vishing-aanvallen, het audio-equivalent van phishing, stijgen dit jaar volgens de meeste industrierapporten met meer dan 200 procent.

Deepfake video's beginnen het tweestapsverificatie-proces te omzeilen. Sommige bedrijven hebben als beleid: bij elk vermoeden, vraag een videogesprek. Goed beleid in 2023, twijfelachtig beleid in 2026. Real-time deepfake software bestaat, het werkt, en het is verkrijgbaar voor wie weet waar te zoeken.

Waarom de jaarlijkse phishing-training dit niet aankan

De meeste Belgische bedrijven die security awareness training doen, doen het op de oude manier. Eens per jaar een sessie van een uur. Misschien een keer per kwartaal een nep-phishing test om te kijken wie er klikt. Een rapportje voor de auditor.

Drie problemen daarmee. Ten eerste vergeten mensen 70 procent van wat ze leren binnen een week, dat is geen gebrek aan motivatie maar gewoon hoe het brein werkt. Ten tweede evolueren aanvalstechnieken sneller dan jaarlijkse trainingen kunnen bijhouden. Wat in januari een nuttige oefening was, is in oktober achterhaald. Ten derde, en dit is wat me het meest stoort, behandelt de jaarlijkse training elke medewerker hetzelfde. Maar de aanvaller doet dat niet. Die personaliseert. Die richt zich op je financiële afdeling met factuur-zwendel, op je HR met loonvoorwaarden-mails, op je IT met fake update-meldingen

Wat dan wel werkt

Wat werkt is wat de aanvaller zelf doet: continu, gepersonaliseerd, AI-gedreven, op maat van de individuele medewerker. Korte trainingsmomenten van twee a vier minuten, verspreid over de maand, in plaats van één jaarlijkse marathon. Phishing-simulaties die mee-evolueren met de echte aanvalstechnieken van die week. Onmiddellijke feedback wanneer iemand op een verdachte link klikt, niet drie maanden later in een gemiddelde-rapportage. En een meetbare score per team en per medewerker, zodat je als bestuurder weet of de risico's krimpen of groeien.

Dat is geen toekomstmuziek. Die platforms bestaan vandaag. Phished, één van de Europese marktleiders, is al actief bij meer dan 3.500 organisaties. Ze worden lokaal in België ingezet, ondermeer door ART Ambuce, en internationaal door bedrijven als Disney, VRT en Acerta.

Wat je vandaag kan doen

Drie dingen die je deze week kan beslissen, zonder dat het je iets kost behalve een telefoontje naar je IT-verantwoordelijke.

Ten eerste, vraag wanneer je medewerkers laatst een phishing-test hebben gehad en wat het resultaat was. Als het antwoord "vorig jaar" of "geen idee" is, weet je waar je staat. Ten tweede, controleer je intern protocol voor financiële transacties: is een mondelinge of audio-bevestiging nog voldoende, of vraag je expliciet een tweede kanaal naast de stem (bijvoorbeeld een kortstondige code via een aparte chat-app)? Ten derde, evalueer of jullie huidige awareness-aanpak nog past bij wat aanvallers vandaag doen, of bij wat ze in 2018 deden.

Cyberweerbaarheid is niet langer een IT-vraagstuk. Het is een bedrijfsrisico, en in 2026 betekent dat een CEO-vraagstuk.