Deepfake Vishing: Als Medewerkers een Bekende Stem Niet Meer Kunnen Vertrouwen
AI-stemklonen laat aanvallers nu toe directieleden en IT-medewerkers na te bootsen aan de telefoon, met maar enkele seconden audio. Hoe deepfake vishing werkt, wie kwetsbaar is, en hoe je test of je team hierin zou trappen.
TL;DR
- AI-stemklonen kan al met drie tot tien seconden zuivere audio een overtuigende kloon opleveren.
- Pogingen tot deepfake vishing stegen met meer dan 1.600% op jaarbasis.
- 41% van organisaties meldt al een deepfake gecombineerd met social engineering tijdens een telefoongesprek, volgens Gartners CISO-onderzoek van 2026.
- “Ik herkende de stem” is geen bewijs van identiteit meer, en klassieke awareness training dekt dit zelden.
- Vishing simulaties met deepfake technieken zijn de enige betrouwbare manier om te weten of je team hierin zou trappen.
Jarenlang was het advies om een verdacht telefoongesprek te herkennen simpel: let op iets dat niet klopt. Dat advies houdt geen stand meer. Real-time stemklonen is geëvolueerd van onderzoeksdemo naar alledaags aanvalsmiddel, en dat verandert wat social engineering testing moet dekken. Een conferentie talk, een podcast optreden, een opname van een town hall, of één LinkedIn-video levert al genoeg audio op om de stem van een directielid overtuigend te klonen. Sectricity's vishing testing omvat op aanvraag al deepfake stemtechnieken, want de dreiging is niet langer hypothetisch.
Hoe Vishing met AI-Stemklonen Werkt
Van Seconden Audio naar een Overtuigende Kloon
Moderne stemkloonmodellen hebben maar drie tot tien seconden zuivere audio nodig om een kloon te maken die overtuigend klinkt aan de telefoon. Die audio is makkelijk te vinden: earningscalls, webinars, interne town halls of een video van twee minuten op LinkedIn zijn allemaal (semi-)publieke bronnen die aanvallers routinematig gebruiken.
Gekloonde Stemmen Combineren met Caller ID Spoofing
Een gekloonde stem wordt veel effectiever gecombineerd met caller ID spoofing, zodat het gesprek lijkt te komen van een echt intern toestel of een gekend leveranciersnummer. De combinatie van een bekende stem en een bekend nummer haalt precies de twee controles weg waar de meeste medewerkers instinctief op vertrouwen.
Waarom Dit Klassieke Awareness Training Omzeilt
De meeste security awareness training kadert phishing en vishing nog steeds als iets dat je herkent aan verdachte details: een vreemd e-maildomein, slechte grammatica, een onbekende beller. Deepfake vishing haalt precies die signalen weg. De stem klopt, de urgentie is aannemelijk, en het verzoek volgt vaak een bestaand proces, zoals een wachtwoordreset of een dringende betalingsgoedkeuring. Training die medewerkers enkel leert op hun gevoel te vertrouwen, laat deze opening wagenwijd open.
Aanvalspatronen uit de Praktijk
De “IT-Support”-Oproep voor een MFA-Reset
Aanvallers klonen de stem van een gekende IT-supportmedewerker en bellen medewerkers tijdens een “geplande” wachtwoordreset, met de vraag om een MFA-code voor te lezen ter bevestiging van de reset. Omdat zowel de stem als de timing legitiem aanvoelen, gaan medewerkers hierin mee.
Impersonatie van Directie voor Dringende Overschrijvingen
Dit is een rechtstreekse evolutie van CEO-fraude, maar dan via de telefoon in plaats van schriftelijk. Een gekloonde directiestem belt rechtstreeks naar finance, verwijst naar een echte deal of leverancier, en vraagt een dringende betaling of wijziging van bankgegevens, met tijdsdruk die verificatie ontmoedigt.
Wie Loopt het Meeste Risico
Directieleden en Medewerkers in de Schijnwerpers
Iedereen wiens stem publiek beschikbaar is via interviews, keynotes, webinars of podcasts is een haalbaar doelwit voor stemklonen, ongeacht anciënniteit.
Finance- en IT-Supportteams
Deze teams zijn doelwit omdat ze betalingen kunnen goedkeuren, credentials kunnen resetten, of controles kunnen omzeilen onder druk, en beide zijn nu al primaire doelwitten bij schriftelijke Business Email Compromise-aanvallen.
Hoe Test Je of Jouw Organisatie Hierin Zou Trappen
Ervan uitgaan dat medewerkers het “gewoon zullen aanvoelen” is geen controle. Vishing testing simuleert geloofwaardige voorwendsels via telefoon, met deepfake stemtechnieken op aanvraag voor organisaties die willen testen tegen de meest actuele aanvalsmethodes. Voor organisaties met directieleden die vaak publiek spreken of in de media komen, brengt een executive threat analysis deze specifieke blootstelling in kaart en geeft concrete aanbevelingen.
Praktische Verdediging Voorbij “Verifieer Gewoon de Stem”
Effectieve verdediging vervangt stemherkenning door een proces dat er niet van afhangt: verplichte terugbelverificatie via een gekend nummer in plaats van het nummer van het inkomende gesprek, vooraf afgesproken codewoorden voor risicovolle verzoeken zoals betalingswijzigingen of credential resets, en bevestiging via een ander kanaal voor elk verzoek met geld, toegang of credentials, ongeacht hoe overtuigend de beller klinkt.
Veelgestelde vragen
Wat is deepfake vishing?
Deepfake vishing is voice phishing waarbij AI-gegenereerde stemklonen wordt gebruikt om zich voor te doen als een echte persoon, zoals een directielid of IT-supportmedewerker, tijdens een telefoongesprek, om het doelwit te manipuleren tot een actie zoals een geldoverschrijving of het prijsgeven van een credential.
Hoeveel audio is nodig om iemands stem te klonen?
Moderne stemkloontools kunnen al met drie tot tien seconden zuivere audio een bruikbare kloon opleveren, wat vaak beschikbaar is via publieke opnames zoals webinars, interviews of korte videoclips.
Kan security awareness training deepfake vishing alleen stoppen?
Awareness training helpt, maar volstaat niet alleen, omdat deepfake vishing precies de waarschuwingssignalen wegneemt waar medewerkers op getraind zijn. Verificatieprocessen die niet steunen op stemherkenning zijn nodig naast training.
Test Sectricity op deepfake stemaanvallen?
Ja. Sectricity's vishing testing kan op aanvraag deepfake stemtechnieken omvatten, om te beoordelen of medewerkers een gekloond gesprek zouden herkennen en correct zouden afhandelen.
Is deepfake vishing hetzelfde als CEO-fraude?
Ze zijn verwant maar niet identiek. CEO-fraude verwijst traditioneel naar schriftelijke impersonatie, meestal via e-mail. Deepfake vishing past dezelfde impersonatielogica toe op een live telefoongesprek met een gekloonde stem, wat andere verificatiesignalen wegneemt dan een schriftelijk bericht.
Hoe kunnen finance- en IT-teams zich hiertegen beschermen?
Door verificatiestappen te gebruiken die niet afhangen van stemherkenning, zoals verplicht terugbellen naar een gekend nummer, vooraf afgesproken codewoorden voor gevoelige verzoeken, en bevestiging via een ander kanaal voor je ingaat op een verzoek rond betalingen of credentials.
Gerelateerde diensten en bronnen
Deepfake vishing zit op het kruispunt van twee zaken die Sectricity rechtstreeks test: hoe overtuigend een social engineering-voorwendsel gemaakt kan worden, en hoe voorbereid jouw organisatie is om eraan te weerstaan. Onze vishing testing-dienst kan deepfake stemtechnieken toevoegen om precies dit scenario te simuleren, en onze executive threat analysis is ontworpen voor organisaties waarvan de directie een publiek stemprofiel heeft dat bescherming verdient. Voor een breder beeld van hoe social engineering-assessments zijn opgebouwd, lees onze gids Social Engineering Assessment, en voor het schriftelijke equivalent van deze dreiging, zie ons artikel over CEO-fraude.