Romantische oplichting voelde vroeger als een cliché. Iedereen stelde zich een e-mail voor van een overzeese ‘prins’ die slecht geschreven was en vol typefouten en pleidooien voor contant geld zat. Nu is dat cliché dood.
De hedendaagse romantiekzwendel is dat wel operaties op industriële schaal. Aanvallers gebruiken kunstmatige intelligentie om stemmen te klonen, deepfake-videogesprekken te maken en scripts te schrijven met grote taalmodellen (LLM’s).
Alleen al in 2024 meldde de Federal Trade Commission dat De financiële verliezen als gevolg van romantische oplichting schoten omhoogwaarbij de slachtoffers 1,14 miljard dollar verloren. Het werkelijke aantal, verborgen door schaamte en stilte, is waarschijnlijk driemaal zo hoog.
Romantische oplichting is niet alleen een tragedie voor de slachtoffers. Een succesvolle zwendel is ook voor bedrijven een enorm risico. Wanneer een medewerker met toegang tot gevoelige gegevens of fondsen in gevaar komt, kan de ‘hartverscheurende hack’ een hele organisatie schade toebrengen.
Hoe de hedendaagse romantische oplichting eruit ziet
Fase 1: Contact. Romantische oplichting begint vaak via dating-apps, maar ze komen ook veel voor op Instagram, Facebook, en LinkedIn– met een schijnbaar onschuldige boodschap. Deze oplichting gaat niet noodzakelijkerwijs over liefde; ze gaan over het creëren van vertrouwen.
Bijvoorbeeld: “Is dit Alex? We hebben elkaar vorige week op de conferentie ontmoet”, of “Sorry, verkeerd nummer, maar je profielfoto is prachtig.”
Het doel is om het gesprek voort te zetten op een gecodeerde app, zoals Telegram of WhatsAppenwaar traditionele beveiligingsmaatregelen geen gesprekken kunnen afluisteren. Zodra het contact tot stand is gebracht, wordt de manipulatie emotioneel.
Fase 2: Liefdesbom. Gedurende weken of maanden, de oplichter bouwt aan intimiteit. Ze delen alledaagse details, zoals foto’s van hun hond of persoonlijke problemen.
Maar met de huidige AI-upgrade kunnen LLM’s empathische reacties bedenken die gedeelde informatie nabootsen om vertrouwen te winnen. Uiteindelijk wordt de relatie gebruikt voor financieel gewin.
Fase 3: Draaien. Zodra het vertrouwen is gevestigd, komt het gesprek op gang. De oplichter vraagt niet om een vliegticket of noodgeld. Ze praten over succes.
Ze zouden kunnen zeggen: ‘Mijn oom heeft een exclusiviteit cryptovaluta handelsalgoritme.” Ze zullen ermee instemmen het slachtoffer te ‘leren’ hoe te beleggen, waarbij ze enorme (maar valse) rendementen laten zien op een legitiem ogende app. Vervolgens investeert het slachtoffer grote sommen geld.
Wat deze oplichting bijzonder gevaarlijk maakt, is dat oude waarschuwingssignalen niet langer van toepassing zijn.
Wanneer de Bot terug flirt
We zeiden altijd: “Als ze je niet willen videobellen, is dat oplichterij.” Dat advies is inmiddels achterhaald.
In diep nep Bij videogesprekken maken oplichters bijvoorbeeld gebruik van real-time face-swapping-technologie. Op uw scherm beweegt, knippert en glimlacht de persoon, terwijl hij het gezicht van de gestolen identiteit draagt. Hoewel de technologie goed is, is deze niet perfect. Tip: Let op vervaging rond de nek en haarlijn of glitches wanneer ze een hand voor hun gezicht houden.
Bij stemklonen sturen oplichters spraaknotities die precies lijken op de persoon op de foto’s. Voor gratis AI-tools is nu minder dan 10 seconden audio nodig een stem klonen met een nauwkeurigheid van 85%, waardoor voicemails mogelijk zijn die de realiteit van de persona versterken.
Organisaties moeten opletten
U denkt misschien: “Waarom is dit het probleem van een CISO?”
Neem de nu voormalige CEO van Heartland Tri-State Bank, die het slachtoffer werd van een dergelijke oplichterij. Ervan overtuigd dat hij investeerde in een crypto-mogelijkheid voor zijn ‘vriend’, verduisterde hij 47 miljoen dollar van het geld van de bank, wat leidde tot de totale ineenstorting van de bank en een gevangenisstraf van 24 jaar. Als de Chief Information Security Officer van de bank had geweten wat er aan de hand was, was de situatie mogelijk eerder onderkend en in de kiem gesmoord.
Hier zijn drie vormen van de bedrijfsexplosieradius.
- Verduistering: Werknemers met toegang tot salarisadministratie of overboekingen kunnen bedrijfsgelden ‘lenen’, in de veronderstelling dat ze het zullen terugbetalen zodra hun ‘investering’ is gerealiseerd.
- Sextortion en chantage: Oplichters moedigen slachtoffers doorgaans aan om intieme afbeeldingen te delen. Zodra ze dit hebben, wordt het een hefboomwerking.
- BYOD-malware: De ‘handelsapp’ die het slachtoffer installeert, is vaak geavanceerde malware die de aanvaller via een achterdeur toegang geeft. Als dat apparaat verbinding maakt met uw bedrijfsnetwerk, bevindt de aanvaller zich binnen.
Hoe u een romantische oplichting kunt stoppen
Om je te verdedigen tegen romantische oplichting, moet je patronen in de infrastructuur en de psychologie van beïnvloeding herkennen. Hier zijn drie tips om te voorkomen dat u het slachtoffer wordt van een fraudeur.
- Let op de sfeerverschuiving: Als een romantische interesse binnen de eerste paar weken cryptocurrency, buitenlandse valuta (forex) of ‘nodes’ vermeldt, is dit een 100% positieve indicator van oplichting – geen uitzonderingen. Als ze al maanden geduldig zijn, maar plotseling komt er snel een kans voorbij, dan is dit gefabriceerde urgentie, bedoeld om kritisch denken te omzeilen.
- De “specifieke actie”-test: Probeer een videogesprek te starten en voer twee acties uit. Vraag eerst de persoon om zijn hoofd te draaien helemaal rond. Deepfake-modellen hebben vaak moeite met extreme bewegingen of gezichtsuitdrukkingen, en het gezicht kan glitchen. Ten tweede, vraag de persoon om met een hand te zwaaien voor of achter hun hoofd. AI raakt vaak in de war over welk object zich vooraan bevindt, wat leidt tot gezichtsvervorming.
- Ga verder dan bewustwordingstraining: Social engineering-verdediging werd vroeger behandeld als een trainingsprobleem, gemeten aan de hand van klikfrequenties en phishing-simulaties. Maar moderne aanvallen gaan verder dan de inbox en wachten niet op fouten van medewerkers.
De meest schadelijke campagnes van vandaag maken gebruik van imitatietactieken via e-mail, berichtenplatforms en sociale media, waarbij ze zich vaak richten op vertrouwde relaties. Defensie vereist dat we verder gaan dan reactieve training in de richting van vroege detectie van nabootsing van identiteit en gecoördineerde verstoring, ondersteund door praktijken voor menselijk risicobeheer die werknemers helpen herkennen hoe aanvallen zoals romantische oplichting beginnen en escaleren.
Vertrouw, maar verifieer
Er is nu weinig onderscheid tussen privéleven en bedrijfsrisico’s. Wanneer een werknemer of leidinggevende emotioneel in gevaar komt, geldt dat ook voor de organisatie. De menselijke intuïtie kan de strijd tegen door AI aangedreven psychologische oorlogsvoering niet winnen.
Het hart zal altijd een kwetsbaarheid zijn, en in het tijdperk van AI is het ook een aanvalsvector. Romantische oplichting bewijst dat aanvallers geen firewall hoeven te doorbreken; ze hoeven alleen maar een hart te breken, en het is tijd om streng te verdedigen.
