Deel 2: over voorbeelden uit de financiële sector en het belang van ervaringen delen.
Ze studeerde Systems Engineering and Policy Analysis aan de TU Delft. Tijdens haar studie onderzocht ze nieuwe technologieën die enerzijds fascinerend, en anderzijds schadelijk kunnen zijn voor de maatschappij. Voor individuen. En voor bedrijven en overheden. Dat leidde in 2020 tot de oprichting van DuckDuckGoose. Sindsdien ontwikkelt Lotfi, mede-oprichter en CEO van het techbedrijf, met haar teamleden deepfake-detectie voor bedrijven en overheden.
De eerste deepfakes waren onder andere gemanipuleerde videoboodschappen van Obama in 2018. Dat was nieuw, en grappig. Tegelijkertijd was het toen ook al een waarschuwing voor nepnieuws. Tegenwoordig kan iedereen content maken of manipuleren met generatieve AI. En die content is ook nog eens steeds moeilijker van echt te onderscheiden. Om te laten zien hoe deepfake-technologie bedrijfsprocessen van financiële instellingen kan raken, deelt Lotfi een paar recente Nederlandse voorbeelden.
Definitie deepfake
Bij een deepfake denk je waarschijnlijk aan gemanipuleerde videoboodschappen van bekende personen die vaak grappig bedoeld zijn. Maar volgens Lotfi is de definitie breder dan dat. “Deepfake is elke vorm van audio en visuele media die met generatieve AI is gegenereerd of gemanipuleerd”, legt ze uit. Denk aan foto’s en video’s van mensen en voorwerpen, maar ook aan documenten zoals facturen en aankoopbewijzen.
6 keer annuleren
“Nog niet zo lang geleden ontdekte een verzekeraar een opmerkelijke fraude met deepfakes. Het ging om iemand die met AI een factuur van een dure reis genereerde. Ook werden er twee valse doktersverklaringen opgesteld waaruit bleek dat de reis door ziekte niet door kon gaan. De claim op de reisverzekering, voor een bedrag van zo’n 30.000 euro, werd geaccepteerd. Dat smaakte naar meer. De persoon in kwestie diende diezelfde claim in bij 4 andere verzekeraars. En ook dat werkte. Toch was 150.000 euro niet genoeg. Maar helaas, bij de 6e poging merkte de betreffende verzekeraar iets vreemds op. De handtekeningen op de doktersverklaringen leken wel erg veel op elkaar. De fraude werd dus na 5 keer opgemerkt”, aldus Lotfi. “Wat deze vorm van fraude onderscheidt van traditionele fraude, is dat het ingediende bewijs er vaak volledig geloofwaardig uitziet en daardoor niet direct door bestaande controlesystemen wordt herkend.”
46 bankrekeningen openen
Nog een voorbeeld: “Steeds vaker is het maken van een gezichtsscan onderdeel van een aanvraagproces, bijvoorbeeld voor het openen van een bankrekening.” Maar Lotfi en haar collega’s zien het ook opkomen in de e-commerce.
“In dit geval is recent een Nederlandse man aangehouden voor het plegen van identiteitsfraude met deepfakes. Hij deed zich voor als verhuurder van appartementen. Van geïnteresseerde woningzoekenden vroeg hij kopie paspoorten op. Met generatieve AI combineerde hij vervolgens zijn eigen pasfoto met de andere foto’s om nieuwe profielen te creëren. Het lukt hem om 46 bankrekeningen te openen. En die gebruikte hij dan weer voor andere vormen van fraude en witwaspraktijken. Generatieve AI maakt het dus mogelijk om dergelijke fraude niet één keer, maar op grote schaal en met minimale inspanning te herhalen. En vergelijkbare technieken kunnen ook worden gebruikt om verzekeringen af te sluiten of bestaande klantaccounts te misbruiken.”
Valse investeringsadviezen
Verder moeten bedrijven volgens Lotfi ook scherp zijn op CEO-fraude. Het gaat dan bijvoorbeeld om phishing per e-mail of telefoon waarbij het lijkt alsof directieleden hun medewerkers vragen om informatie te delen of op links te klikken. “Maar denk ook aan deepfake-video’s waarin directieleden via social media valse investeringsadviezen geven. Nog niet zo lang geleden was dat het geval bij Warren Buffett, CEO van Berkshire Hathaway. Zoiets kan ook gebeuren in de verzekeringssector, wat het vertrouwen en het imago flink kan aantasten.”
Patronen verklappen veel
Om fraude met AI een halt toe te roepen, wordt er in de financiële sector steeds meer onderzoek naar gedaan. Lotfi: “Wat we in bankensector bijvoorbeeld zien, zijn templates die wereldwijd worden gebruikt voor het genereren van valse paspoortfoto’s. Onder andere te herkennen aan gelijkenissen in de achtergrond van zo’n foto. Daaruit blijkt dat foto’s op grote schaal worden gemaakt, verkocht en misbruikt. We zien ze terug bij banken in Nederland, e-commerce in Brazilië tot defensie in Singapore.”
Anders dan vroeger, is het genereren of manipuleren van beeld en audio steeds eenvoudiger. En het wordt ook nog eens op steeds grotere schaal gedaan, met name door criminele groeperingen op het darkweb. “Daar moeten verzekeraars zich écht bewust van zijn,” benadrukt ze.
Deel zoveel mogelijk
In het i-CERT delen verzekeraars sinds 2017 vertrouwelijk informatie over cyberdreigingen. CEO-fraude en phishing wordt daar ook steeds vaker in meegenomen. Lotfi: “Informatiedeling in de financiële sector is ontzettend belangrijk. Ook als het om deepfake-fraude gaat, want fraudeurs gebruiken vaak dezelfde technieken en templates bij meerdere organisaties tegelijk. Het volledige fraudepatroon wordt daarom meestal pas zichtbaar als informatie sectorbreed wordt gedeeld.”
Binnenkort verschijnt het laatste artikel van dit drieluik. Daarin vertelt Lotfi hoe verzekeraars deepfake-fraude kunnen aanpakken.
De Boef de Baas 2026
Lotfi verzorgt op 26 maart een deelsessie tijdens De Boef de Baas, een event van het Verbond dat dit jaar in het teken staat van technologie en AI als wapen én tegenstander in de strijd tegen fraude en criminaliteit. Relevant voor strategen en beleidsbepalers, managers veiligheidszaken, fraude- en incidentonderzoekers, data-analisten, cybersecurity specialisten, risk officers en professionals op het terrein van digital resilience.
In 2025 is de visie Weerbaar en Waakzaam gepubliceerd over de aanpak van fraude en (cyber)criminaliteit in de verzekeringssector.
Visie Weerbaar en Waakzaam