Hoe AI aan de hand van eenvoudige details in uw foto’s vaststelt waar u bent en waarom dat een goudmijn is voor oplichters
McAfee Labs-rapport over veiliger reizen in de zomer | Zomer 2026
Een foto zegt meer dan duizend datapunten
U bent net terug van een weekje in Midden-Amerika. U hebt een paar foto’s geplaatst: de kleurrijke straten van Tulum, de oude ruïnes van Tikal en een close-up van uw garnalentaco’s. Geen locatietag. Geen bijschrift met de naam van de stad. Gewoon een mooie foto.
Een paar dagen later ontvangt u een bericht. Daarin wordt uw bank genoemd. U wordt attent gemaakt op verdachte activiteiten ‘tijdens internationale reizen’. Het bericht bevat specifieke details over waar u was en wanneer. Het voelt echt aan.
Dit soort gepersonaliseerde oplichtingsberichten is een tactiek die steeds vaker wordt gebruikt. En uw eigen foto’s kunnen daarbij hebben geholpen.
McAfee Labs wilde precies in kaart brengen hoeveel locatiegegevens er in een gewone vakantiefoto zitten en wat dat betekent voor de ongeveer 244 miljoen Amerikanen die elk jaar op reis gaan.
Wat we hebben ontdekt, zou uw kijk op wat u online deelt, moeten veranderen: sommige AI-modellen halen een nauwkeurigheidspercentage van meer dan 90% bij het bepalen van de locatie waar een foto is genomen. Uitsluitend op basis van de beelden op de foto. En wat vooral belangrijk is: die mate van nauwkeurigheid is nu haalbaar met tools die gratis en voor iedereen toegankelijk zijn.
Daarom hebben wij tools ontwikkeld, zoals McAfee+ met oplichtingsbescherming, om dit soort zeer gerichte, overtuigende berichten te herkennen voordat ze tot kostbare vergissingen leiden.
Wat wij hebben getest en waarom
De vraag die McAfee Labs wilde beantwoorden, leek op het eerste gezicht eenvoudig: kan AI aan de hand van een reisfoto achterhalen waar deze is genomen, zelfs zonder GPS-gegevens of locatietags?
Geen metagegevens. Geen ingesloten coördinaten. Alleen het beeld zelf: de achtergrond, de architectuur, de bewegwijzering, het licht… kortom, de visuele context die in elke foto wordt vastgelegd.
Om dit te achterhalen, hebben we een geautomatiseerd testtraject opgezet en dit uitgevoerd op een dataset van 21.236 reisfoto’s afkomstig uit openbaar beschikbare fotocollecties. Daarnaast hebben we nog eens 102 foto’s onderworpen aan een afzonderlijke, meer gecontroleerde analyse om onze bevindingen grondig te toetsen.
We hebben twee algemeen beschikbare, grootschalige AI-modellen voor beeldverwerking getest die allebei gratis beschikbaar zijn. Voor het gebruik hiervan waren geen speciale toegangsrechten, geen bedrijfseigen gegevens en geen geavanceerde technische kennis vereist. Wij hebben dezelfde tools gebruikt waartoe een oplichter tegenwoordig toegang kan hebben.
Elke foto werd geanalyseerd met een vaste, geautomatiseerde prompt, waarmee het model werd gevraagd de locatie op de foto (stad, land of regio) uitsluitend op basis van de visuele content te identificeren. De resultaten werden vervolgens door menselijke analisten beoordeeld om de nauwkeurigheid te controleren en uitzonderingen te signaleren.
Onze bevindingen: AI heeft een ongelofelijk nauwkeurigheidspercentage van 91%
De resultaten waren ronduit verbluffend.
Gemma3 27B slaagde er in 87% van de gevallen in de stad en het land op een reisfoto correct te identificeren. Qwen3 VL 30B presteerde zelfs nog beter en behaalde een nauwkeurigheid van 91% met dezelfde dataset.
Dit betekent dat een AI-model dat voor iedereen gratis beschikbaar is, in ongeveer 9 van de 10 gevallen aan de hand van een gewone reisfoto correct kan aangeven waar deze is genomen. AI-tools gebruiken dit soort analyses ook om beelden in bredere zin te interpreteren, niet alleen voor oplichtingspraktijken, maar ook om informatie weer te geven in door AI gegenereerde antwoorden.
Ook wanneer de exacte stad niet werd herkend, was het land wel bijna altijd correct. Voor een oplichter is dat meer dan genoeg. Het is ook voldoende om een vaag, algemeen oplichtingsbericht om te vormen tot een bericht dat specifiek, actueel en geloofwaardig overkomt.
Wat maakt een foto gemakkelijk te lokaliseren?
Bepaalde soorten afbeeldingen werden met nog grotere zekerheid geïdentificeerd:
- Foto’s met beroemde bezienswaardigheden of herkenbare skylines
- Foto’s die zijn genomen op populaire toeristische bestemmingen met een kenmerkend visueel karakter
- Foto’s waarop bewegwijzering, bijzondere wegmarkeringen of lokale architectuur te zien zijn
- Foto’s die de culturele context weergeven: vervoermiddelen, winkelpuien, eetkraampjes
Minder herkenbare omgevingen, zoals een strand, een landweg of een hotelkamer, bleken moeilijker correct te identificeren. Maar zelfs in die gevallen bleef de identificatie van het land hoog.
We hebben het geprobeerd. En we schrokken ons wezenloos.
Om te laten zien hoe eenvoudig dit allemaal was, zijn we buiten McAfee Labs gaan werken en hebben we onze collega’s met minder technische kennis gevraagd het zelf eens te proberen. Geen onderzoeksachtergrond nodig. Geen speciale tools.
Medewerkers uploadden hun eigen persoonlijke reisfoto’s – foto’s die rechtstreeks uit hun fotogalerij kwamen en nog nooit openbaar waren gepost – naar ChatGPT, Claude en Copilot, en vroegen aan elk programma waar de foto’s waren genomen.
De resultaten gaven hen een zeer ongemakkelijk gevoel.
De nauwkeurigheid was lager in vergelijking met onze gecontroleerde laboratoriumtests. Maar niet veel. De modellen konden het land nog steeds correct identificeren, en wel met een nauwkeurigheid die ruimschoots voldoende zou zijn voor een oplichter om een overtuigend, persoonlijk bericht op te stellen.
Het gaat er niet om dat AI uw foto’s al eens ergens eerder heeft ‘gezien’. Een foto bevat van zichzelf gewoon een enorme hoeveelheid informatie over de locatie: de architectuur, het licht, de bewegwijzering en het landschap. U hoeft een foto niet van een geotag te voorzien om anderen te laten weten waar u bent geweest.
Overtuig uzelf
Het volgende gedeelte bevat concrete voorbeelden van AI-detectie van geolocaties aan de hand van persoonlijke reisfoto’s die door ons onderzoeksteam zijn aangeleverd. Geen locatietags. Geen metagegevens. Alleen de foto en wat de AI daarin heeft gevonden.
We zijn begonnen met enigszins herkenbare structuren op de achtergrond en hebben vervolgens steeds minder herkenbare achtergronden geprobeerd, waarbij we gezichten en achtergronden zoveel mogelijk hebben weggelaten om alleen de begroeiing over te houden. Dit gebeurde er:
Voorbeeld 1
De huwelijksreisfoto’s van Brooke: In dit voorbeeld is een redelijk opvallend herkenningspunt te zien, waardoor AI de locatie nauwkeuriger kan bepalen. Als er iets herkenbaars is, herkent AI het ook echt, tot en met de exacte plek op de kaart waar u zich bevindt, de geschiedenis van de locatie en toeristische informatie.

Voorbeeld 2
Sandra’s foto van de zonsondergang: Dit voorbeeld vormt een grotere uitdaging voor AI doordat belangrijke oriëntatiepunten en mensen zijn verwijderd. ChatGPT kon de locatie nog steeds correct identificeren als Hastings-on-Hudson.


Voorbeeld 3
Robs close-up van bloemen: Alleen al aan de hand van de close-up van deze tulpen kon Claude nauwkeurig vaststellen dat deze foto is genomen in de Keukenhof in Nederland.

Hoe een foto tot oplichting leidt
Weten waar mensen zich bevinden of waar ze onlangs zijn geweest, is een van de oudste trucs uit het handboek van oplichters. Maar tot voor kort moest iemand de persoon in kwestie kennen of gewoon geluk hebben om aan die informatie te komen.
AI maakt een einde aan het giswerk, waardoor aanvallers op grote schaal zeer specifieke, contextgebonden oplichtingspraktijken kunnen opzetten.
Nu de geolocatie zo nauwkeurig kan worden bepaald, hoeven oplichters niet langer een breed net uit te werpen en te hopen dat een generiek phishingbericht iets oplevert. In plaats daarvan kunnen ze openbaar gedeelde foto’s gebruiken om een geloofwaardige context rond een aanval te creëren:
- “We hebben ongebruikelijke activiteit in uw account gedetecteerd terwijl u op reis was in [stad].”
- “Er is een verdachte transactie met uw creditcard in [land] geconstateerd. Controleer dit zo snel mogelijk.”
- “Goedendag, wij nemen contact met u op naar aanleiding van uw recente verblijf in een hotel in [bestemming].”
- “Hallo, met [uw naam], ik ben in Mexico en al mijn betaalkaarten worden geweigerd. Kun je mij wat geld sturen?”(een bericht aan uw vrienden of familieleden)
- “We hebben een inlogpoging gedetecteerd vanaf uw locatie in [bestemming]. Verifieer uw identiteit nu.”
- “Uw reservering in [stad] moet opnieuw worden bevestigd. Klik hier om uw boeking te bevestigen.”

Deze berichten hoeven niet helemaal correct te zijn. Ze moeten gewoon plausibel en geloofwaardig genoeg zijn. Dat is de hele strategie. Vertrouwdheid vermindert wantrouwen. Maar wantrouwen is wat u beschermt.
Massale phishingaanvallen veranderen hierdoor in grootschalige, hypergepersonaliseerde phishingaanvallen. En dat is de reden waarom zelfs voorzichtige, digitaal onderlegde reizigers erin trappen.
De nieuwe werkwijze van oplichters
Zo eenvoudig kan deze strategie worden:
- Zoek openbaar gedeelde reisfoto’s op Instagram, Facebook of X, zonder daarvoor te hoeven hacken
- Voer die foto’s in een vrij beschikbaar AI-model voor beeldherkenning in
- Bepaal de waarschijnlijke bestemming, het tijdsbestek en de context
- Stel een doelgericht bericht op waarin u naar die locatie verwijst
- Verstuur het bericht tijdens of kort na de reisperiode, wanneer de kans het grootst is dat het slachtoffer het gelooft
Stappen 1 tot en met 5 kunnen worden geautomatiseerd. Het hele proces is eenvoudig schaalbaar. En de berichten zijn veel persoonlijker dan generieke oplichtingsberichten.
De verschillende soorten oplichting waarmee reizigers te maken krijgen
Het achterhalen van de geografische locatie is slechts één onderdeel van een groter geheel. Het is een van de vele middelen in het steeds groter wordende arsenaal dat oplichters specifiek tegen reizigers inzetten.
Reizigers zitten niet in hun normale dagelijkse routine, maken gebruik van onbekende netwerken en nemen onder tijdsdruk snelle financiële beslissingen. Dat maakt het achterhalen van de locatie aan de hand van foto’s nog gemakkelijker voor oplichters.
Uit nieuw consumentenonderzoek van McAfee blijkt dat meer dan 1 op de 3 Amerikanen te maken heeft gehad met een reisgerelateerde cyberdreiging en dat 41% van deze groep geld is kwijtgeraakt, vaak meer dan $ 500. Daarnaast zorgen stijgende reiskosten en een hoge tijdsdruk ervoor dat mensen snellere, riskantere beslissingen nemen. Dat zijn precies de omstandigheden waar oplichters op zijn uit om misbruik van te maken.
Uit de gegevens van het onderzoek blijkt hoe kwetsbaar reizigers zichzelf maken zonder dat ze zich daarvan bewust zijn. Bijna twee derde van de Amerikanen maakt tijdens het reizen verbinding met openbare wifi (63%) en een vergelijkbaar percentage scant QR-codes zonder te controleren waar deze naartoe leiden (62%). Bijna de helft maakt gebruik van wifi op een luchthaven (49%) en 41% geeft toe dat ze reisgerelateerde berichten vertrouwen zonder de afzender te controleren. Een op de vijf logt in bij financiële apps tijdens het gebruik van openbare netwerken en dezelfde groep deelt reisplannen in real time op social media. Twintig procent klikt op reisgerelateerde links zonder eerst de bron te controleren. En tot slot geeft ongeveer 1 op de 5 (22%) toe dat ze hun reisplannen in real time delen.
Sta even stil bij dit laatste punt. Realtime reisupdates op openbare of semi-openbare social media lijken onschuldig, maar leveren precies de op foto’s gebaseerde locatiesignalen op die in dit onderzoek worden onderzocht. De hierboven genoemde onveilige soorten online gedrag en het prijsgeven van de geografische locatie staan niet los van elkaar. Ze voeden elkaar.
Het achterhalen van de locatie zorgt ervoor dat al die bestaande kwetsbaarheden nog effectiever kunnen worden uitgebuit. Oplichters die een globaal idee hebben van waar u zich bevindt, beschikken niet slechts over één datapunt. Ze hebben een script.
Methodologie: Hoe wij dit onderzoek hebben uitgevoerd
Transparantie is belangrijk. Hieronder wordt precies beschreven hoe dit onderzoek is uitgevoerd.
Dataset: 21.236 reisfoto’s die openbaar beschikbaar zijn voor onderzoeksdoeleinden, plus een afzonderlijke gecontroleerde set van 102 (niet eerder openbaar gemaakte) foto’s die zijn aangeleverd door interne vrijwilligers van McAfee.
Geteste modellen:
- Gemma3 27B — een multimodaal en beeld-taalmodel van Google DeepMind
- Qwen3 VL 30B — een multimodaal en beeld-taalmodel van het Qwen-team van Alibaba
Belangrijk om te weten is dat wij onze tests hebben uitgevoerd met grote taalmodellen die lokaal op onze eigen computers draaiden en niet via publiek toegankelijke diensten zoals ChatGPT.
Dit geeft een beter beeld van de manier waarop een aanvaller op grote schaal te werk zou kunnen gaan. Door modellen lokaal uit te voeren, kunnen grote hoeveelheden schadelijke content onbeperkt en geautomatiseerd worden gegenereerd, zonder afhankelijk te zijn van een externe aanbieder.
Cloudgebaseerde AI-diensten daarentegen controleren doorgaans wel op misbruik en kunnen verwerkingslimieten opleggen, accounts opschorten of verzoeken blokkeren wanneer zij activiteiten detecteren die verband kunnen houden met phishing of ander kwaadaardig gedrag.
Werkwijze: Een geautomatiseerd Python-script heeft elke foto aan beide modellen voorgelegd met behulp van een gestandaardiseerde prompt, waarin werd gevraagd om uitsluitend op basis van visuele content de locatie te bepalen. Er zijn geen metagegevens, EXIF-data of bestandsnaamconventies als invoer gebruikt. De resultaten werden programmatisch vastgelegd.
Validatie: Voorafgaand aan de analyse waren fotolabels toegewezen. In gevallen waarin geografische namen of oriëntatiepunten redelijkerwijs op meer dan één manier konden worden geïnterpreteerd, heeft een menselijke beoordelaar de vooraf gelabelde locaties en de resultaten van de modellen met elkaar vergeleken om een consistente categorisering te waarborgen.
De beoordelaar bepaalde bijvoorbeeld of Vaticaanstad bij Rome moest worden ingedeeld en of ‘Washington D.C.’ en ‘Washington, D.C.’ als dezelfde locatie moesten worden beschouwd. De beoordelaar heeft noch de oorspronkelijke labels, noch de resultaten van de modellen gewijzigd, maar heeft op basis van eigen inzicht een oplossing gevonden voor onduidelijke naamgevingsconventies en randgevallen.
Definitie van nauwkeurigheid: Een resultaat werd als correct beschouwd wanneer het model de juiste stad en het juiste land identificeerde. De identificatie van het land alleen werd apart bijgehouden. Beide meetwaarden werden gerapporteerd.
Wat dit onderzoek niet claimt: Dit onderzoek suggereert niet dat elke reisfoto correct wordt geïdentificeerd, of dat alle openbaar beschikbare AI-tools op dit niveau presteren. De resultaten verschilden naargelang het type foto, de dichtheid van oriëntatiepunten en de geografische regio. Het gaat niet om een perfecte identificatie, maar om het feit dat de nauwkeurigheid hoog genoeg is en de gegevens toegankelijk genoeg zijn om gerichte oplichting op grote schaal mogelijk te maken.
Over het consumentenonderzoek: McAfee heeft opdracht gegeven tot een consumentenonderzoek dat in maart 2026 is uitgevoerd en waarin reisplannen, ervaringen met en percepties van reisoplichting, en het digitale gedrag tijdens het reizen zijn onderzocht. De resultaten waarnaar hier wordt verwezen, zijn afkomstig van een subset van 1000 Amerikaanse volwassenen ouder dan 18 jaar. Het volledige onderzoek omvatte antwoorden van 6000 deelnemers uit Australië, Frankrijk, Duitsland, Japan, de Verenigde Staten en het Verenigd Koninkrijk.
Hoe u zichzelf kunt beschermen
Weten dat het risico bestaat, is de eerste stap. Dit is wat u er concreet aan kunt doen:
Denk na voordat u iets op internet zet, vooral in real time. In de periode waarin u nog onderweg bent, is het risico het hoogst. Als u een bericht plaatst terwijl u zich op een bepaalde locatie bevindt, geeft dat oplichters een live signaal. Plaats berichten indien mogelijk pas nadat u weer thuis bent of wacht een paar dagen met het delen van content waarmee uw locatie kan worden achterhaald.
Controleer de privacyinstellingen van uw social media. Foto’s die openbaar worden gedeeld, zijn het gemakkelijkste doelwit. Door uw berichten te beperken tot mensen die u kent, wordt het aantal foto’s dat kan worden verzameld en geanalyseerd, aanzienlijk teruggebracht.
Wees op uw hoede voor dringende verzoeken die verband houden met uw locatie. Als in een bericht wordt verwezen naar plaatsen waar u bent geweest, zelfs als dat correct is, moet u dat als een waarschuwing beschouwen en niet als een teken van geloofwaardigheid. Oplichters gebruiken de vertrouwdheid met een locatie juist omdat dit geruststellend werkt.
Ga direct naar de bron. Als u tijdens uw reis een bericht ontvangt dat afkomstig lijkt te zijn van uw bank, luchtvaartmaatschappij, hotel of kaartuitgever, klik dan niet op een link in het bericht. Open een nieuw tabblad in uw browser en ga rechtstreeks naar de officiële website van het bedrijf, of bel het nummer op de achterkant van uw kaart.
Gebruik een apart e-mailadres of een e-mailalias voor uw reis. Sommige reizigers gebruiken een apart e-mailadres voor boekingen, reserveringen en reisapps. Hierdoor wordt het voor oplichters moeilijker om uw aanwezigheid op social media te koppelen aan uw financiële rekeningen.
Vertrouw op uw achterdocht, niet op de vertrouwdheid. Moderne oplichtingspraktijken zijn zo gemaakt dat ze er op het eerste gezicht vertrouwd uitzien, en later pas argwaan wekken. Kom niet meteen in actie als er tijdens uw reis iets gebeurt dat een gevoel van urgentie rond uw financiële zaken creëert. De druk zelf is het waarschuwingsteken.
Hoe McAfee u beschermt vóór, tijdens en na uw reis
Nu de prijzen stijgen en beslissingen in real time worden genomen, gaat gemak soms boven voorzichtigheid. Maar juist op die momenten zijn kleine controles het belangrijkst.
| Reisfase | Wat er gebeurt | Hoe McAfee helpt |
| Voordat u boekt | Aanbiedingen vergelijken, op promoties klikken, vluchten en hotels boeken onder tijdsdruk | McAfee+ met oplichtingsbescherming controleert links, berichten en boekingssites voordat u erop klikt, zodat u valse aanbiedingen en frauduleuze advertenties kunt vermijden |
| Tijdens uw reis | Verbinding maken met openbare wifi, QR-codes scannen, reisupdates en meldingen ontvangen | VPN helpt uw verbinding via openbare wifi te beveiligen, terwijl McAfee+ met oplichtingsbescherming verdachte berichten en onveilige links in real time signaleert |
| Na uw reis | Accounts blijven actief, reisgegevens zijn op verschillende platforms opgeslagen, mogelijke blootstelling door datalekken | Identiteitstoezicht waarschuwt u wanneer uw persoonsgegevens online opduiken, zodat u snel kunt ingrijpen voordat er (meer) schade wordt aangericht |
Met McAfee+ Advanced werken meerdere beveiligingslagen samen, zodat u niet achteraf hoeft uit te zoeken wat er is gebeurd als de schade al is geleden.
U kunt zich rustig op uw reis concentreren zonder u af te vragen of die melding een oplichtingspoging is.
Conclusie
Een reisfoto is een herinnering. Maar het is ook, in toenemende mate, een datapunt.
Dat betekent niet dat u moet stoppen met het delen van uw ervaringen. Het betekent dat u moet beseffen dat juist die visuele rijkdom die een foto zo bijzonder maakt, precies datgene is wat AI-systemen herkennen, omdat ze daarop zijn getraind.
Oplichters weten dat. En u weet nu hoe u zichzelf kunt beschermen.
Dit rapport is opgesteld door McAfee Labs. Het onderzoek werd in 2025–2026 uitgevoerd in het kader van McAfee’s voortdurende monitoring van AI-gestuurde oplichtingsmethoden.