Een treffend redactioneel beeld van een videoconferentieraster waarin de gezichten van de meeste deelnemers subtiel glitchen of oplossen in digitale artefacten, terwijl één echt menselijk gezicht toekijkt — de kern van de Arup-aanval, waarbij één echt persoon tussen synthetische identiteiten zat.
Artificial IntelligenceCybersecurityDeepfakes

Een deepfake-CFO stal $25 miljoen tijdens een Zoom-gesprek. Dit is waarom jouw bedrijf de volgende kan zijn.

Ashutosh SinghalAshutosh Singhal24 april 202614 min

Ik had een telefoongesprek met een potentiële klant — een CFO bij een middelgroot productiebedrijf — toen hij iets zei waar ik stil van viel.

"We verifiëren identiteit al tijdens videogesprekken. We zien elkaars gezichten."

Ik vroeg hem of hij had gehoord wat er bij Arup was gebeurd. Dat had hij niet. Dus vertelde ik het hem: in februari 2024 nam een medewerker van de financiële afdeling bij Arup — het wereldwijde ingenieursbureau achter het Sydney Opera House — deel aan een videoconferentie met zijn CFO en meerdere directieleden. Ze bespraken een vertrouwelijke transactie. De CFO gaf hem opdracht geld over te maken. Hij voerde 15 overboekingen uit voor in totaal $25,6 miljoen verspreid over vijf bankrekeningen. Elk gezicht in dat gesprek was nep. Elke stem was synthetisch. De CFO was een door AI gegenereerde deepfake. De andere directieleden ook. De medewerker was de enige echte mens in de ruimte.

Het bleef ongeveer tien seconden stil aan de lijn. Toen zei hij: "Dat kan niet waar zijn."

Toch is het waar. En het is de reden dat ik de afgelopen tijd alles wat we bij Veriprajna bouwen opnieuw tegen het licht heb gehouden — want het Arup-incident legde niet alleen een cybersecuritygat bloot. Het bracht een probleem aan het licht in de vertrouwensarchitectuur, een probleem dat de meeste bedrijven nog niet eens onder ogen hebben gezien.

De avond waarop ik besefte dat "zien is geloven" dood is

Ik las de forensische analyse van het Arup-incident voor het eerst laat op een avond, in mijn thuiskantoor, met een kop chai die koud werd voordat ik de tweede pagina uit had. Wat me trof, was niet het bedrag — hoewel $25,6 miljoen duizelingwekkend is. Het was de elegantie van de aanval. Er was geen malware. Geen gestolen inloggegevens. Geen ongeautoriseerde toegang tot databases. Er is nooit ingebroken op de digitale infrastructuur van Arup.

De aanvallers hackten het systeem niet. Ze hackten de mens.

Wanneer het gezicht en de stem van de CFO perfect kunnen worden nagemaakt, zijn de traditionele signalen van vertrouwen kapot. Niet verzwakt — kapot.

Ze hebben maandenlang openbaar beschikbare video van Arup-directieleden van YouTube, conferentielezingen en bedrijfsopnames gescrapet. Ze trainden Generative Adversarial Networks — twee neurale netwerken die met elkaar concurreren, waarbij het ene nepcontent genereert en het andere die probeert te detecteren, in miljoenen iteraties, totdat de vervalsingen niet meer van de werkelijkheid te onderscheiden zijn — om te creëren wat forensisch experts "high-fidelity synthetic twins" noemen. Niet alleen gezichten. Spraakpatronen. Intonaties. De manier waarop iemand pauzeert voordat hij een vraag beantwoordt.

Vervolgens stuurden ze een spear-phishingmail van de "CFO" met het verzoek om hulp bij een vertrouwelijke transactie. De medewerker was sceptisch. Goed instinct. Maar de aanvallers hadden een tweede zet: ze nodigden hem uit voor een live videogesprek waarin meerdere bekende gezichten het verzoek in realtime bevestigden.

Zijn scepsis loste op. Uiteraard. Welk rationeel mens twijfelt aan wat zijn eigen ogen zien wanneer vier collega's hem vanaf het scherm aankijken?

Hoe deepfake je een complete directiekamer?

Een diagram dat de pipeline van een video-injectieaanval uitlegt — hoe synthetische video detectie omzeilt door rechtstreeks in de datastroom van vergadersoftware te worden gevoerd, afgezet tegen een eenvoudigere presentatieaanval.

Dat is de vraag waar mijn team steeds op terugkwam. We hadden eerder deepfakes van één persoon gezien — hier een gekloonde stem, daar een video met een verwisseld gezicht. Maar een live videoconferentie met meerdere deelnemers? Dat voelde als een sprong.

Het blijkt dat de technische barrières sneller zijn ingestort dan de meeste securityteams beseffen.

De aanvallers gebruikten een techniek die video-injectie heet, in plaats van een eenvoudigere "presentatieaanval" (waarbij iemand een scherm voor een camera houdt). Bij injectieaanvallen wordt synthetische video via virtuele camerasoftware rechtstreeks in de datastroom van de vergadersoftware gevoerd. Zoom, Teams — de applicatie behandelt de door AI gegenereerde feed alsof die van een fysieke webcam komt. Er is geen schermrand om te detecteren, geen diepteafwijking om te markeren. Onderzoek laat zien dat injectieaanvallen gericht op aanbieders van identiteitsverificatie toenamen met 255% in 2023, terwijl face-swap-aanvallen stegen met 704%.

Ik herinner me een teamoverleg waarin een van onze engineers een realtime face swap demonstreerde met open-sourcetools. Hij had er ongeveer veertig minuten voor nodig om het op te zetten. Het resultaat was niet perfect — er zat een lichte flikkering rond de kaaklijn — maar op een gecomprimeerde Zoom-feed? Dan valt het niet op. En dat was met gratis software en zonder trainingsdata. De aanvallers van Arup hadden maanden voorbereiding en, vermoedelijk, middelen.

Mijn CTO keek me over de tafel aan en zei: "We moeten hier niet langer naar kijken als een cybersecurityprobleem. Dit is een epistemologisch probleem. Hoe weet iemand nog wat echt is?"

Hij had gelijk. En dat besef heeft mijn kijk op alles wat we bouwen veranderd.

Waarom maakt jouw "AI-strategie" dit erger?

En dit is wat de meeste berichtgeving over het Arup-incident volledig mist: de manier waarop de meeste bedrijven AI hebben omarmd, vergroot hun kwetsbaarheid voor dit soort aanvallen juist alleen maar.

Ik heb het over de "LLM-wrapper" — op dit moment de dominante AI-architectuur in het bedrijfsleven. Je neemt een publieke API van OpenAI of Anthropic, legt daar een dunne softwarelaag omheen, koppelt die aan een paar bedrijfsprocessen en noemt dat je AI-strategie. Het is snel uit te rollen. Het is goedkoop. En het is fundamenteel ontoereikend voor alles wat ertoe doet.

Drie redenen.

Ten eerste: data-egress. Bij een wrapper-gebaseerde implementatie verlaten je meest gevoelige gegevens — financiële spreadsheets, interne memo's, communicatie van de directie — je bedrijfsperimeter om verwerkt te worden in de cloud van een derde partij. Zelfs als de aanbieder belooft er niet op te trainen, bevinden de gegevens zich in een externe omgeving die onderworpen is aan de Amerikaanse CLOUD Act, ondoorzichtige relaties met subverwerkers en mogelijke exfiltratie via het model. Je stuurt precies het soort informatie waarmee een aanvaller overtuigende deepfakes van je directieleden kan bouwen, en je stuurt het buiten je muren.

Ten tweede: de betrouwbaarheidskloof. LLM's zijn probabilistisch. Ze voorspellen het meest waarschijnlijke volgende woord op basis van statistische patronen, niet op basis van gefundeerd begrip van jouw bedrijfsrealiteit. Wanneer een AI-agent een prijs rapporteert, een korting goedkeurt of een beleidsregel interpreteert, genereert hij een plausibel antwoord — hij haalt geen geverifieerd feit op. In omgevingen waar veel op het spel staat is die kloof tussen "plausibel" en "waar" waar fraude leeft.

Ten derde — en deze laat me niet los — het probleem van de "lichaamloze adviseur". Voor ingenieursbureaus als Arup genereert een tekstgebaseerde LLM-wrapper advies zonder enige geïntegreerde feedbackloop om fysieke of biologische veiligheid te verifiëren. In constructieve techniek of chemie kan een kleine wijziging in een berekening tot een catastrofaal andere uitkomst leiden. Een wrapper die werkt op basis van semantische afstand in plaats van de wetten van de natuurkunde kan deze kritieke afwijkingen niet herkennen. Hij weet niet wat hij niet weet.

Ik heb uitgebreid geschreven over deze architecturale kwetsbaarheid in de interactieve versie van ons onderzoek — de kern van het argument is dat wrappers een illusie van intelligentie creëren terwijl de organisatie structureel kwetsbaar blijft.

Wat had de Arup-aanval daadwerkelijk tegengehouden?

Een diagram van de verdedigingsstack met de drie complementaire detectie-/verificatielagen — fysiologische detectie (hartslaganalyse), gedragsbiometrie (toetsaanslag-/muispatronen) en cryptografische herkomst (C2PA) — en hoe ze samenwerken als een meerlaags systeem voor identiteitsverificatie.

Dat is de vraag die ik mezelf steeds bleef stellen. Niet "wat had Arup anders moeten doen" — dat is achteraf makkelijk praten. Maar: welke architectuur laat dit soort aanvallen mislukken?

Het antwoord is niet één technologie. Het is een stack. En het begint met het loslaten van het idee dat visuele bevestiging gelijkstaat aan identiteitsverificatie.

De hartslag die je niet kunt vervalsen

Een van de fascinerendste detectiemethoden die ik ben tegengekomen, analyseert wat "door de hartslag veroorzaakte" veranderingen in de gezichtskleur worden genoemd. Technologieën zoals Intels FakeCatcher monitoren microvariaties in de huidskleur — onzichtbaar voor het menselijk oog — die overeenkomen met cardiovasculaire activiteit. Een levend menselijk gezicht verandert bij elke hartslag subtiel van kleur. Een deepfake niet. En als het al gebeurt, klopt de timing niet.

Toen ik hier voor het eerst over hoorde, klonk het me als sciencefiction in de oren. Daarna zag ik een demo waarin het systeem een deepfake van hoge kwaliteit correct identificeerde die iedereen in de ruimte had misleid. Het synthetische gezicht had een perfecte huidtextuur, perfecte lipsynchronisatie, perfecte oogbewegingen. Maar geen polsslag.

Een deepfake kan je gezicht, je stem en je maniertjes nabootsen. Je hartslag kan hij niet nabootsen.

De manier waarop je typt is je handtekening

Gedragsbiometrie is de laag die me het meest enthousiast maakt, omdat die vrijwel onmogelijk te vervalsen is. Je toetsaanslagdynamiek — de snelheid, het ritme en de druk waarmee je typt — vormt een herkenbaar patroon dat uniek is voor jou. Datzelfde geldt voor je muisbewegingen, je veegsnelheid op mobiel en zelfs de manier waarop je tussen applicaties navigeert.

Stel je voor dat je voor elk directielid een gedragsbaseline opbouwt. Tijdens een videogesprek monitort het systeem voortdurend of de "CFO" die in de chat typt, zich gedraagt als de echte CFO. Als de typecadans afwijkt van het historische profiel terwijl er een ongebruikelijk financieel verzoek wordt gedaan, markeert het systeem dat automatisch. Zonder dat er een menselijk oordeel aan te pas komt.

Zo ziet continue authenticatie eruit — geen eenmalig wachtwoord bij het inloggen, maar een doorlopende, onzichtbare verificatie dat de persoon met wie je praat is wie hij zegt te zijn.

Cryptografisch bewijs dat video echt is

In plaats van alleen te proberen vervalsingen te detecteren, moeten we beginnen met het verifiëren van authenticiteit bij de bron. De C2PA-standaard — Coalition for Content Provenance and Authenticity — bedt cryptografische metadata in op het moment dat de video wordt opgenomen: het apparaat, het tijdstip, de locatie en een bewijsketen waarin manipulatie aantoonbaar is. Als een videofeed in een Teams- of Zoom-gesprek deze credentials mist, moet die met dezelfde argwaan worden behandeld als een niet-ondertekend softwarepakket.

Dit is een mentaliteitsverandering. We hebben jarenlang gevraagd: "is dit nep?" De betere vraag is: "kan dit bewijzen dat het echt is?"

De architectuur die we daadwerkelijk bouwen

Een gelaagd architectuurdiagram van de Neuro-Symbolic Sandwich — de drielaagse stack waarin deterministische symbolische logicalagen het neurale LLM omsluiten, met gelabelde datastromen die laten zien hoe invoer wordt gesaneerd en uitvoer wordt geverifieerd tegen echte databases.

Bij Veriprajna noemen we onze aanpak Deep AI — niet omdat het een marketingterm is, maar omdat het een fundamenteel andere relatie beschrijft tussen een organisatie en haar AI-infrastructuur. In plaats van "AI-as-a-service" via publieke API's bouwen we "AI-as-infrastructure" binnen de eigen beveiligde omgeving van de organisatie.

Drie pijlers.

De eerste is eigenaarschap van de infrastructuur. We rollen volledige inferentiestacks — Private Enterprise LLM's — rechtstreeks uit in de Virtual Private Cloud of de on-premises Kubernetes-clusters van de klant. Gevoelige gegevens verlaten de perimeter nooit. Dit is niet alleen een beveiligingsmaatregel; het levert op maat gemaakte modelassets op die eigendom zijn van de klant. Hun intelligentie blijft soeverein.

De tweede is wat wij Private RAG 2.0 noemen — Retrieval-Augmented Generation die native geïntegreerd is met de interne beveiliging. Als een medewerker geen toestemming heeft om een document in SharePoint in te zien, haalt de AI het niet op om zijn vraag te beantwoorden. Dit klinkt vanzelfsprekend, maar de meeste RAG-implementaties behandelen de kennisbank als één vlakke verzameling. De onze respecteert dezelfde toegangscontroles die voor de rest van de organisatie gelden.

De derde — en die waar ik het meest trots op ben — is de Neuro-Symbolic Sandwich. We omsluiten het neurale netwerk (het LLM, met zijn creatieve taalvermogen) tussen twee lagen deterministische, symbolische logica. De onderste laag schoont de invoer op om prompt injection te voorkomen voordat die het model bereikt. De bovenste laag onderschept de uitvoer van het model en voert die uit via strikte, vooraf gedefinieerde functies — een SQL-database bevragen, een ERP-systeem controleren, een geverifieerde prijs ophalen. Wanneer de AI een getal rapporteert, haalt hij een feit op in plaats van het te voorspellen.

De Neuro-Symbolic Sandwich zorgt ervoor dat de AI, wanneer die een prijs of een autorisatiestatus rapporteert, een deterministische waarde uit een database ophaalt — en die waarde niet voorspelt op basis van tokenwaarschijnlijkheid.

Mensen hebben me verteld dat dit overengineered is. "Gebruik gewoon GPT met goede prompts," zei een investeerder ooit tegen me, met het zelfvertrouwen van iemand die nooit verantwoordelijk is geweest voor een overboeking. Ik denk aan de medewerker van Arup — een competente professional die alles deed wat redelijk leek — en ik weet dat "goed genoeg"-prompts niet goed genoeg zijn wanneer er miljoenen op het spel staan.

Voor de volledige technische uitwerking van deze architectuur, inclusief de neuro-symbolische ontwerppatronen en RBAC-bewuste retrieval, zie ons gedetailleerde onderzoekspaper.

Wat gebeurt er als de CIO persoonlijk aansprakelijk wordt?

De Arup-zaak heeft een juridische dimensie die de meeste technologen niet volgen, en die zou elke CIO en CTO die dit leest de stuipen op het lijf moeten jagen.

Rechtbanken volgen bij fraude met overboekingen steeds vaker de "Impostor Rule": het verlies moet worden gedragen door de partij die het beste in staat was om de fraude te voorkomen. In de zaak-Arup werd de medewerker weliswaar misleid, maar het feit dat het bedrijf geen verificatie via meerdere kanalen had ingevoerd voor transacties van hoge waarde kan worden gezien als het primaire faalpunt.

CIO's en CTO's bekleden een bestuurlijke functie met fiduciaire plichten. Nu fraude met deepfakes een bekend en gedocumenteerd risico wordt — en na Arup is het definitief bekend — kan het nalaten om deepfake-bewuste controlemaatregelen in te voeren leiden tot persoonlijke aansprakelijkheid als een bedrijf door aandeelhouders wordt aangeklaagd wegens nalatigheid. Dit is niet hypothetisch. De California Consumer Privacy Act, de EU AI Act en raamwerken zoals NIST's AI Risk Management Framework convergeren allemaal naar de verwachting dat organisaties specifieke, gedocumenteerde verdedigingen hebben tegen aanvallen met synthetische media.

Ik ben CIO's in elke vergadering een simpele vraag gaan stellen: "Als een aanvaller morgen je CEO zou deepfaken tijdens een videogesprek en iemand $10 miljoen zou overmaken, zou je dan aan een rechter kunnen aantonen dat je redelijke waarborgen had getroffen?"

De stilte die volgt, zegt me alles.

Kunnen we mensen niet gewoon trainen om deepfakes te herkennen?

Mensen vragen me dit voortdurend, en ik begrijp het instinct. Het is de goedkoopste oplossing. Leer iedereen gewoon waar ze op moeten letten — de flikkerende kaaklijn, het vreemde oor, de net iets verkeerde belichting.

Dit is het probleem: detectie met het menselijk oog is een wapenwedloop die je al verloren hebt. De artefacten die in deepfakes uit 2023 te detecteren waren, ontbreken grotendeels in deepfakes uit 2025. De technologie verbetert sneller dan de menselijke waarneming zich aanpast. En in een gecomprimeerd videogesprek met middelmatige belichting en haperende bandbreedte — wat op de meeste zakelijke Zoom-gesprekken van toepassing is — zijn zelfs deepfakes van de huidige generatie functioneel onzichtbaar.

Training helpt, maar niet op de manier die de meeste mensen denken. Het doel is niet om medewerkers in deepfakedetectoren te veranderen. Het doel is om te bouwen aan wat ik een cultuur van mondige scepsis noem — mensen belonen die verdachte verzoeken ter discussie stellen, ook wanneer die verzoeken van de CEO lijken te komen. Het eerste instinct van de Arup-medewerker was om sceptisch te zijn over de phishingmail. Dat instinct was juist. Het werd overruled door het sociale bewijs van een videogesprek met bekende gezichten.

De oplossing is procedureel, niet perceptueel. Transacties van hoge waarde vereisen out-of-bandverificatie: een rechtstreeks telefoontje naar een vooraf geverifieerd nummer, een vooraf afgesproken authenticatiecode die via een apart kanaal wordt gedeeld, of dubbele autorisatie door iemand die niet bij het oorspronkelijke gesprek was. Videoconferencing kan niet langer de gouden standaard zijn voor identiteitsauthenticatie bij financiële transacties. Punt uit.

De blauwdruk van $25 miljoen

Ik blijf terugkomen op iets dat me dwarszit aan de manier waarop het Arup-verhaal meestal wordt verteld. Het wordt neergezet als een waarschuwend verhaal — "kijk eens hoe geraffineerd de kwaadwillenden worden." En dat klopt, maar het is onvolledig.

De diepere les is architecturaal. De digitale systemen van Arup waren in orde. Hun firewalls hielden stand. Hun encryptie werkte. De aanval slaagde omdat de vertrouwensarchitectuur van de organisatie — het geheel van aannames over hoe identiteit wordt geverifieerd en beslissingen worden geautoriseerd — niet was meegegroeid met een wereld waarin synthetische media goedkoop, overtuigend en realtime zijn.

De meeste organisaties waarmee ik spreek, verkeren in dezelfde positie. Ze hebben zwaar geïnvesteerd in perimeterverdediging, terwijl de menselijke laag — de laag die daadwerkelijk de overboekingen autoriseert, de contracten goedkeurt, de technische specificaties aftekent — wordt beschermd door niets meer dan de aanname dat gezichten en stemmen moeilijk te vervalsen zijn.

Die aanname stierf in februari 2024 in een vergaderzaal in Hongkong. De vraag is of jouw organisatie haar vertrouwensarchitectuur bijwerkt vóór of nadat ze haar eigen leergeld van $25 miljoen betaalt.

Het Arup-incident was geen falen van de cybersecurity. Het was een falen van de vertrouwensarchitectuur — en de meeste organisaties hebben de hunne niet bijgewerkt sinds het tijdperk waarin gezichten niet vervalst konden worden.

Ik houd hier geen slag om de arm. De organisaties die nu in beweging komen — soevereine AI-infrastructuur uitrollen, gedragsbiometrie implementeren, cryptografische herkomst eisen voor videofeeds en procedurele noodremmen inbouwen in elke zwaarwegende beslissing — zullen het volgende tijdperk van enterprisebeveiliging bepalen. Wie wacht, wordt een casestudy.

De kosten van een deepfake die je financiële team kan misleiden, dalen richting nul. De kosten van misleid worden niet.

Gerelateerd onderzoek

Ook gepubliceerd op

Bouw uw AI met vertrouwen.

Werk samen met een team met diepgaande ervaring in het bouwen van de volgende generatie enterprise-AI. Laat ons u helpen bij het ontwerpen, bouwen en implementeren van een AI-strategie waarop u kunt vertrouwen.

Veriprajna Deep Tech-adviesbureau is gespecialiseerd in het bouwen van veiligheidskritische AI-systemen voor de gezondheidszorg, de financiële sector en gereguleerde domeinen. Onze architecturen worden gevalideerd aan de hand van gevestigde protocollen met uitgebreide compliancedocumentatie.