Blog Attacks

Hoe Door AI Aangedreven Aanmaak van Nepaccounts te Blokkeren

AI-agenten maken nepaccounts aan met mensachtig gedrag dat CAPTCHA verslaat. Leer de browserlaag-signalen die geautomatiseerde registraties onthullen.

Jun 21, 2026 • 7 min read

Mike Kutlu Client-Side Security Consultant

Hoe Door AI Aangedreven Aanmaak van Nepaccounts te Blokkeren

Het aanmaken van nepaccounts is altijd al een fraudevector geweest. Wat is veranderd, is de kwaliteit van de vervalsingen. Traditionele geautomatiseerde accountaanmaak gebruikte scripts die formulieren op machinesnelheid invulden, vingerafdrukken hergebruikten over sessies en faalden bij eenvoudige gedragscontroles. Door AI aangedreven accountaanmaak gebruikt echte browsersessies, gevarieerde timing, realistisch ogende gedragspatronen en gegenereerde persoonsgegevens die basisvalidatie doorstaan.

Het resultaat is een populatie nepaccounts die volgens elke maatstaf die traditionele fraudesystemen gebruiken om ze te classificeren legitiem lijken, en die een hulpbron worden voor misbruik, promofraude, credential stuffing of doorverkoop aan andere fraudeurs. Dezelfde zichtbaarheidskloof in de browserlaag die AI-kaarttesters onopgemerkt laat passeren, geldt ook hier, zoals besproken in Hoe AI-Kaarttesters te Blokkeren.

Waarom Nepaccounts Worden Aangemaakt

Snel antwoord: Nepaccounts maken een reeks fraudeschema's mogelijk: promotiemisbruik (meerdere keren nieuwe-gebruikerskortingen claimen), voorraadmanipulatie (voorraad vasthouden om door te verkopen), credential-doorverkoop (geverifieerde accounts verkopen op dark web-markten), reviewfraude en platformspecifiek misbruik. De kosten voor het aanmaken van accounts zijn aanzienlijk gedaald nu door AI aangedreven automatisering bulkaanmaak goedkoper en beter ontwijkbaar heeft gemaakt.

Veelvoorkomende toepassingen voor nepaccount-infrastructuur:

Promofraude: Nieuwe-gebruikerskortingen, verwijzingsbonussen en aanmeldtegoeden zijn waardevol. Eén fraudeur met door AI aangedreven accountaanmaak kan ze op grote schaal claimen over honderden of duizenden accounts.
Voorraadmanipulatie: Bulk-accountaanmaak kan worden gebruikt om beperkt uitgebrachte voorraad, tickettoewijzingen of schaarse aanbod vast te houden en vervolgens de toegang of de items zelf door te verkopen.
Review- en beoordelingsmanipulatie: Nepaccounts vormen de infrastructuur voor beoordelingsfraude: producten oppeppen, concurrenten omlaag halen en sociale bewijskracht fabriceren.
Credential-doorverkoop: Geverifieerde accounts op populaire platforms hebben marktwaarde. Accounts die via echt ogende registratiestromen zijn aangemaakt en geverifieerd, worden verkocht op criminele markten.
Escalatie van platformmisbruik: Nepaccounts zijn vaak de eerste stap in complexere fraudeketens: voorbereiding van accountovername, infrastructuur voor social engineering of gelaagde identiteitsfraude.

Waarom CAPTCHA Faalt Tegen AI-Accountaanmaak

Snel antwoord: CAPTCHA is ontworpen om mensen te onderscheiden van op regels gebaseerde bots. Door AI aangedreven accountaanmaak verslaat het via AI-vision-modellen die visuele uitdagingen oplossen, CAPTCHA-oplosdiensten die menselijke oplossers tegen lage kosten inzetten, en gedragspatronen die voldoen aan de onderliggende heuristieken van CAPTCHA zonder menselijk te zijn.

De storingssituaties zijn goed gedocumenteerd:

AI-vision-modellen: Moderne vision-modellen kunnen standaard beeldgebaseerde CAPTCHA-uitdagingen met hoge nauwkeurigheid oplossen. De cognitieve kloof tussen mensen en machines waarop CAPTCHA steunt, is voor de meeste veelvoorkomende uitdagingstypen feitelijk gesloten.

Door mensen aangedreven oplosdiensten: Een grote markt van CAPTCHA-oplosdiensten zet echte mensen in goedkope arbeidsmarkten in om uitdagingen voor geautomatiseerde systemen op te lossen. De doorlooptijd is doorgaans minder dan 30 seconden. Vanuit het perspectief van uw CAPTCHA-systeem is de uitdaging door een mens opgelost.

Ontwijking van gedragsCAPTCHA: GedragsCAPTCHA-systemen die muisbeweging, klikpatronen en interactiedynamiek volgen, worden in toenemende mate omzeild door AI-browserautomatisering die plausibele mensachtige gedragssignalen genereert. De generatiekwaliteit varieert, maar geavanceerde systemen kunnen gedragspatronen produceren die standaard gedragsCAPTCHA doorstaan.

In cside's gecontroleerde tests misten traditionele tools AI-agenten die binnen echte browsersessies opereerden in 81 van de 100 scenario's, en AI-accountaanmaak-agenten vallen precies in die kloof.

De fundamentele beperking van CAPTCHA is dat het een enkel controlepunt is in plaats van een continue evaluatie op sessieniveau. Zelfs als het sommige geautomatiseerde sessies op het moment van de uitdaging onderschept, biedt het geen bescherming tegen sessies die de uitdaging via een van de bovenstaande mechanismen hebben doorstaan.

De Sessiesignalen Die AI-Accountaanmaak Onthullen

Snel antwoord: AI-accountaanmaak-sessies hebben gedragssignaturen in de browserlaag die gedurende de hele registratiestroom aanhouden, niet alleen bij het CAPTCHA-controlepunt. Interactietiming, formulierinvulpatronen, vingerafdrukstatus en gedrag na de registratie onthullen samen de geautomatiseerde accountaanmaak die CAPTCHA miste.

Invulgedrag van het registratieformulier Menselijke gebruikers die een registratieformulier invullen nemen een variabele tijd per veld. Ze pauzeren bij e-mailvelden (om hun adres te controleren of te typen), nemen langer de tijd bij wachtwoordvelden (om er een te bedenken en te onthouden) en maken af en toe fouten die ze corrigeren. AI-accountaanmaak-systemen vullen formulieren in met consistente, precieze timing: elk veld kost ongeveer evenveel tijd, er zijn geen correctiegebeurtenissen en het formulier wordt zonder aarzeling voltooid.

Patronen in gegenereerde persoonsgegevens Door AI gegenereerde persoonsgegevens hebben vaak statistische patronen die afwijken van echte gebruikersregistraties: onrealistische naamcombinaties, e-mailadressen die algoritmische generatiepatronen volgen, telefoonnummers die rond specifieke voorvoegsels clusteren of structurele patronen volgen, en adresgegevens die niet overeenkomen met plausibele woonadressen.

Vingerafdrukstatus Accountaanmaak-sessies van AI-systemen presenteren doorgaans schone vingerafdrukken in standaardstatus, zonder de opgebouwde context van echte consumentenapparaten. Een verse vingerafdruk die op grote schaal verschijnt (veel registraties vanuit vergelijkbaar geprofileerde sessies) is een signaal.

Gedrag na de registratie Nepaccounts vertonen vaak kenmerkend gedrag na de registratie: onmiddellijk interageren met promocodes, onmiddellijk proberen verwijzingssystemen uit te buiten, of volledig inactief blijven na het aanmaken (geparkeerd voor later gebruik). Deze gedragsprofielen in de eerste minuten en uren na het aanmaken van een account zijn waarneembare signalen.

Sessiecorrelatie AI-accountaanmaak op grote schaal produceert gecorreleerde sessiepatronen: vergelijkbare timing tussen sessies, vergelijkbare vingerafdrukclusters, vergelijkbare navigatiepaden door de registratiestroom. Individuele sessies kunnen plausibel lijken; het patroon over sessies onthult de automatisering.

Controles Die Werken

Snel antwoord: Effectieve preventie van nepaccounts vereist continue sessie-evaluatie in plaats van een enkel controlepunt. Gedragssignalen gedurende de hele registratiestroom, e-mail- en telefoonverificatie en monitoring na de registratie bieden samen de dekking die CAPTCHA alleen niet kan bereiken.

Gedragsevaluatie gedurende de registratie In plaats van een enkel CAPTCHA-controlepunt biedt continue gedragsmonitoring van de registratiesessie signalen die AI-accountaanmaak niet consistent kan onderdrukken. Formulierinvulpatronen, interactietiming en vingerafdrukkenmerken worden geaccumuleerd tot een gedragsscore over de volledige registratiesessie.

cside AI-agent detectiedashboard

E-mail- en telefoonverificatie Het vereisen van verificatie van een werkend e-mailadres of telefoonnummer voegt een barrière toe aan bulk-accountaanmaak. Het stopt vastberaden fraudeurs niet die tijdelijke e-mail- of telefoondiensten gebruiken, maar het voegt kosten en wrijving toe die de schaal beperken. Gecombineerd met gedragssignalen vangt verificatie accounts op die gedragsanalyse markeerde maar niet definitief blokkeerde.

Gedragsmonitoring na de registratie Accounts die onmiddellijk promotieaanbiedingen claimen, onmiddellijk verwijzingssystemen gebruiken of onmiddellijk veel activiteit vertonen, hebben gedragsprofielen die afwijken van normale onboarding van nieuwe gebruikers. Het markeren en beoordelen van accounts met deze patronen na de registratie, voordat voordelen worden geactiveerd, vangt promofraude en misbruik op.

Correlatieanalyse Door over registratiesessies heen te kijken in plaats van naar individuele sessies wordt gecoördineerde accountaanmaak onthuld. Clusters van sessies met vergelijkbare vingerafdrukken, vergelijkbare timing, vergelijkbare formulierinvulpatronen of vergelijkbaar gedrag na de registratie wijzen op systematische aanmaak van nepaccounts, zelfs wanneer individuele sessies de momentopname-controles doorstaan.

cside toont deze signalen op sessieniveau en tussen sessies in realtime, en geeft fraudeteams het zicht om op registratiemisbruik te reageren voordat nepaccounts worden geactiveerd en gebruikt. Als u tools hiervoor evalueert, zie de beste platforms voor bot- en agent-trustmanagement vergeleken.

Wat cside Detecteert dat CAPTCHA Mist: Een Concreet Scenario

Snel antwoord: Een promofraude-operatie richt zich op de gratis proefperiode van 30 dagen van een SaaS-platform. Elk account krijgt een uniek e-mailadres, een plausibele naam en passeert CAPTCHA via een menselijke oplosdienst. Traditionele fraudetools zien niets. Hier is wat de browsersessie onthult.

De agent navigeert naar de aanmeldpagina en wacht 18 seconden voordat het het formulier aanraakt, een gescripte vertraging om het lezen te simuleren. Het voornaamveld wordt in precies 0,6 seconden ingevuld. Het e-mailveld kost exact 1,1 seconden voor elke registratie in de batch. De wachtwoordinvoertijd is 1,8 seconden, identiek over 200 opeenvolgende sessies. Er zijn nul correctiegebeurtenissen op enig veld in de hele batch. Het formulier wordt binnen 0,5 seconden na het voltooien van het laatste veld verzonden.

cside observeert: een timingvariantie op veldniveau van minder dan 40 milliseconden over alle 200 sessies, vingerafdrukprofielen die clusteren rond dezelfde frameworkstandaarden, en gedrag na de registratie dat onmiddellijke claims van promocodes binnen 90 seconden na accountbevestiging laat zien. Individuele sessies doorstaan elke momentopname-controle. Het patroon tussen sessies toont systematische geautomatiseerde registratie op grote schaal. cside markeert de batch als gecoördineerde aanmaak van nepaccounts en pauzeert de activering van voordelen in afwachting van handmatige beoordeling.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

De kosten voor het aanmaken van overtuigende nepaccounts zijn aanzienlijk gedaald nu AI-browserautomatiseringsframeworks, CAPTCHA-oplosdiensten en door LLM gegenereerde persoonsgegevens breed beschikbaar zijn geworden. De economie speelt fraudeurs in de kaart: de kosten om op grote schaal accounts aan te maken zijn laag, en de waarde van nepaccounts voor promofraude, doorverkoop of platformmisbruik is hoog.

Niet betrouwbaar. AI-vision-modellen kunnen standaard beeldgebaseerde CAPTCHA oplossen. Door mensen aangedreven CAPTCHA-oplosdiensten leveren echte menselijke oplossers tegen lage kosten en hoge snelheid. GedragsCAPTCHA kan worden verslagen door AI-automatisering die plausibele gedragssignalen genereert. CAPTCHA is een nuttige wrijvingslaag, maar het zou niet de primaire controle moeten zijn tegen door AI aangedreven accountaanmaak.

Belangrijke signalen zijn onder meer de precisie van het invullen van het registratieformulier zonder menselijke correctiepatronen, gegenereerde persoonsgegevens met statistische afwijkingen, schone vingerafdrukstatussen zonder opgebouwde apparaatgeschiedenis, onmiddellijke interactie met promotiesystemen na het aanmaken van een account, en gecorreleerde patronen over meerdere registratiesessies die wijzen op gecoördineerde geautomatiseerde activiteit.

Een combinatie van gedragsmatige sessie-evaluatie tijdens de registratie, e-mail- en telefoonverificatie, vertraagde activering van promotievoordelen (waarbij geverifieerde activiteit vereist is vóór deelnamerecht) en gedragsmonitoring na de registratie biedt gelaagde bescherming. Het doel is om bulk-promomisbruik duur genoeg te maken om onrendabel te zijn, in plaats van technisch onmogelijk.

Nepaccounts blazen registratiecijfers op en vertekenen analytics. Ze maken promofraude mogelijk die de marge verlaagt en reviewmanipulatie die de productreputatie aantast. In totaal verlagen grote aantallen nepaccounts de platformkwaliteit en signaleren ze aan echte gebruikers dat moderatie ontbreekt. Ze creëren ook aansprakelijkheid wanneer ze worden gebruikt voor vervolgfraude tegen andere platformdeelnemers.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Hoe Voorkom Je het Aanmaken van Nepaccounts: Waarom Detectie op Browserniveau Vangt Wat E-mailverificatie Mist

E-mailverificatie bevestigt dat een mailbox bestaat. Het kan de browser niet zien. Daarom vangt detectie op browserniveau nepaccounts die het mist.

Polyfill.io supply chain-aanval: volledige tijdlijn, analyse en lessen (2024–2026)

Een volledige, onderbouwde tijdlijn van de Polyfill.io supply chain-aanval, van de domeinverkoop in 2024 tot de Funnull-sancties in 2025, en hoe je het vandaag verwijdert.

Donkere cside blogcover met blauwe pixelachtergrond en drie vinkjes: waarom snelheidsregels AI-kaarttesters missen, browsersignalen die hen blootleggen en betaling blokkeren vóór checkout

Hoe AI-Kaarttesters te Blokkeren

AI-kaarttesters tasten betalingsstromen af met echte browsers. Leer de browsersignalen die ze blootleggen voordat een transactie wordt voltooid.

cside-beveiligingsplatform dat meerdere AI-agentverbindingen classificeert — browserlaag agentdetectie en vertrouwensbeheer

Hoe u een AI-agentdetectieoplossing kiest

Vijfstappengids voor CISO's die AI-agentdetectieoplossingen evalueren: architectuur, classificatie, leveranciersprofielen en POC-methodologie.

Donkere cside-blogomslag met een browserinterface die bot- en AI-agentverkeer filtert naar vertrouwde en geblokkeerde paden

Beste Bot- en Agentvertrouwensbeheerplatforms Vergeleken (2026)

Forrester definieert de categorie. cside, DataDome, HUMAN Security, Kasada en Arkose Labs vergeleken op detectielaag, intentie en agentische dekking.

cside beveiligingsschild dat een browsercursorpad monitort — AI-agentdetectie op de browserlaag

Hoe Blokkeer Je OpenAI Operator op Je Website

OpenAI Operator surft op je site als een echte gebruiker. Leer detecteren en blokkeren via browserlaag-signalen en wanneer je dat niet moet doen.

DBSC versus device-fingerprinting: wat de sessiebeveiliging van Chrome niet dekt

Chrome's DBSC stopt hergebruik van gestolen cookies, maar werkt alleen in Chrome, pas na inloggen en zonder device-identiteit. Dit laat het open.

Perplexity Shopper detecteren en blokkeren op uw website — cside blog

Hoe u Perplexity Shopper op uw website kunt blokkeren

Perplexity Shopper browst en koopt op retailwebsites namens Pro-gebruikers. Leer hoe u de browsersignalen detecteert en het verkeer beheert.

Wanneer een AI-API het antwoord van een andere gebruiker teruggeeft: gedeelde caches en cross-tenant lekken

Een incident met de Claude-API lijkt antwoorden van andere gebruikers te hebben teruggegeven. Waarom gedeelde caches cross-tenant lekken veroorzaken.

Een OAuth 2.0 access-token in het midden van een diagram dat een legitiem apparaat met het apparaat van een aanvaller verbindt

MFA faalde niet, het vertrouwensmodel faalde: device code phishing en OAuth-tokendiefstal (Kali365)

Kali365 misbruikt de OAuth 2.0 device authorization grant om Microsoft 365-tokens te stelen na MFA. Een technische analyse van de flow, FOCI en detectie.