Patrick Petersen: Wat een telcohack ons leert over AI

Cybercriminelen moesten zich onlangs bij een telco voordoen als de ICT-afdeling om medewerkers zover te krijgen hun eigen beveiliging open te zetten. Ze belden vriendelijk, klonken professioneel, en kregen uiteindelijk precies wat ze wilden: toegang. Geen brute kracht. Geen spectaculaire code. Gewoon iemand die zei: “Hallo, ik ben hier om te helpen.” De telco besloot snel een beoogde beursgang uit te stellen, ondanks de stroom aan gratis publiciteit voor het merk.

Er werden vervolgens zoveel persoonlijke gegevens buitgemaakt dat criminelen er een miljoen euro losgeld voor durven vragen. Een miljoen. Dat is geen impulsbedrag. Dat is een bedrag waarvan je als crimineel denkt: hier zit kwaliteit in. Hier zit detail. Hier zit een compleet mens in verwerkt.

En toch is het vreemd dat dit ons nog verrast. Want precies dit mechanisme gebruiken we zelf elke dag, vrijwillig, maar dan met AI.

We geven periodiek zonder nadenken onze cv’s, contracten, medische klachten, interne bedrijfsinformatie, omzetgegevens en persoonlijke onzekerheden aan AI-systemen waarvan we geen idee hebben waar het precies draait, wie het beheert of wat er precies mee gebeurt vanuit wellicht wel geopolitieke belangen. Niet omdat iemand ons heeft gehackt, maar omdat de interface zo lekker rustig is en de knop zo uitnodigend blauw en omdat het zo handig werkt. Zelfbenoemde AI-experts willen dat we meer-meer-meer data de bots injagen. In een recente discussie op LinkedIn reageerde een zelfbenoemd AI-expert nog geruststellend: “..dat jouw persoonlijke gegevens allang ergens zijn weggelekt en op buitenlandse servers staan”.

Hoe dan? De hackers moesten zich voordoen als de ICT-afdeling. AI hoeft zich nergens voor te doen. AI ís de ICT-afdeling. De HR-afdeling. De jurist. De psycholoog. En wij leveren netjes alle benodigde documenten aan, compleet met context, uitleg en soms zelfs een begeleidende motivatie waarom deze informatie vooral vertrouwelijk is.

Een AI-agent doet de rest

Wat de hackers met moeite via zogenoemde social engineering moesten verzamelen, uploaden wij zelf in een tekstvak met de titel: “Waar kan ik je mee helpen?”

Het verschil is vooral esthetisch. Bij phishing zit er nog een vage e-mail bij. Bij AI zit er een modern lettertype en een vriendelijke cursor die knippert alsof hij geduldig wacht op je volgende geheim.

En net als bij die hack zit het echte lek niet in de technologie, maar in het vertrouwen. Iemand vraagt om informatie, klinkt competent, en wij leveren. Niet omdat we dom zijn, maar omdat het systeem is ontworpen om geen weerstand op te roepen. Geen frictie. Geen twijfel. Alleen gemak.

Gebruiksgemak is de succesvolste social engineering-aanval ooit

Organisaties trainen hun personeel inmiddels om wantrouwig te zijn tegenover onbekende telefoontjes. Maar niemand traint ze om wantrouwig te zijn tegenover een tekstvak op hun eigen scherm. Terwijl dat geduldig tekstvak inmiddels toegang krijgt tot strategische plannen, financiële cijfers en complete personeelsdossiers omdat iemand “even snel” een samenvatting nodig had.

En het mooiste is: zelfs de telco instantie die moet waken over onze privacy blijkt gewoon hackbaar. Bij de Autoriteit Persoonsgegevens werden namelijk ook personeelsgegevens ingezien door onbevoegden, waaronder namen, e-mailadressen en telefoonnummers, na misbruik van een softwarekwetsbaarheid.

De privacywaakhond werd dus zelf bespied. De digitale equivalent van een brandweer die afbrandt, maar dan met een persbericht erbij waarin staat dat vuur nog steeds verboden is.

Dat stelt ergens gerust.

Want het betekent dat wij, gewone gebruikers, natuurlijk veel beter voorbereid zijn. Wij uploaden onze contracten, identiteitsbewijzen en interne documenten rechtstreeks naar AI-systemen waar we geen controle over hebben, maar wel met een gerust gevoel. Opgedrongen AI-chatbots scannen live ons mailverkeer en bijlagen.

Want wij zijn kritisch. Wij zijn alert. Wij klikken niet zomaar op verdachte links.

Wij typen ze zelf over.

De hackers moesten nog doen alsof ze iemand anders waren.

AI hoeft alleen maar te vragen: “Hoe kan ik helpen?”

En wij doen de rest.

—

Patrick Petersen RDM MA MSc is AI- en digital marketing specialist gericht op businessautomatisering en ondernemer met zijn bureau AtMost(TV), auteur van meer dan twintig prijswinnende boeken over AI, marketing, online tech en maatschappelijke ontwikkelingen. Bovenal is hij docent en spreker. Meer info op www.patrickpetersen.nl.