Error Level Analysis uitgelegd: vervalste documentafbeeldingen herkennen
Error Level Analysis (ELA) detecteert pixelmanipulatie in JPEG-afbeeldingen. Praktische gids voor het herkennen van vervalste loonstroken, bankafschriften en identiteitsbewijzen.
Dit artikel samenvatten met
ChatGPT
Claude
Perplexity
Gemini
GrokError Level Analysis (ELA) identificeert gebieden in een JPEG-afbeelding die digitaal zijn gewijzigd door compressie-inconsistenties op pixelniveau te meten. Wanneer een fraudeur een loonstrook, bankafschrift of identiteitsbewijs bewerkt en het resultaat als JPEG opslaat, behouden de gewijzigde gebieden een andere compressiehandtekening dan de omliggende originele inhoud — en ELA maakt dat verschil binnen enkele seconden zichtbaar.
Volgens het ACFE 2024 Report to the Nations wordt slechts 37% van alle documentfraude ontdekt via handmatige controles. Forensische beeldanalyse, inclusief ELA, dicht de blinde vlek die visuele inspectie niet kan sluiten.
Wat is Error Level Analysis?
ELA is een forensische techniek die manipulaties in JPEG-afbeeldingen onthult door gebruik te maken van het verliesgevende compressie-algoritme van het formaat. Wanneer een JPEG-bestand wordt opgeslagen op een bepaald kwaliteitsniveau, past de encoder discrete cosinustransformaties (DCT) toe op 8×8-pixelblokken over de gehele afbeelding en verwijdert details onder een ingestelde drempelwaarde. Na dit proces bereikt elk blok in de afbeelding ongeveer hetzelfde resterende foutniveau — de "vloer" van compressie-artefacten bij die kwaliteitsinstelling.
Wanneer iemand een JPEG bewerkt — door een salarisgetal te vervangen, een pasfoto te wisselen of een datum aan te passen — is het bewerkte gebied afkomstig uit een andere bron of heeft het een andere compressiecyclus ondergaan. Het opnieuw opslaan van het samengestelde bestand creëert een mismatch: de originele ongewijzigde pixels worden een tweede keer gecomprimeerd en verliezen meer detail, terwijl het ingevoegde gebied, voor de eerste keer gecomprimeerd of afkomstig van een andere encoder, een ander profiel behoudt.
ELA maakt dit verschil visueel zichtbaar. De standaardprocedure, geformaliseerd door beveiligingsonderzoeker Neal Krawetz tijdens Black Hat USA 2007, bestaat uit:
- De afbeelding opnieuw opslaan op een bekend kwaliteitsniveau (doorgaans 95%).
- Het per-pixel absolute verschil berekenen tussen de opnieuw opgeslagen versie en het origineel.
- De verschillen schalen voor zichtbaarheid en het resultaat weergeven als een warmtekaart — lichtere gebieden duiden op hogere foutniveaus en mogelijke manipulatie.
Hoe ELA manipulaties in documenten detecteert
Een authentiek, ongewijzigd document toont een relatief uniforme helderheid op de ELA-kaart, afgezien van voorspelbare randeffecten bij hoogcontrastgrenzen zoals gedrukte tekst op wit papier. Die randen zijn structureel verwacht en hebben hoge foutniveaus in elke ongewijzigde JPEG.
Een vervalst document toont twee kenmerkende patronen:
Onverwacht heldere vlekken in vlakke gebieden. Tekst, cijfers of afbeeldingen die zijn ingevoegd vanuit een externe bron, behouden hun originele compressiekenmerken. De grens tussen nieuwe en oude inhoud gloeit vaak fel op de ELA-kaart, zelfs wanneer het visuele verschil met het blote oog niet waarneembaar is.
Onverwacht donkere vlekken waar inhoud is verwijderd. Wanneer een fraudeur originele inhoud overschrijft — bijvoorbeeld door een salarisgetal te schilderen en een nieuw getal in te voegen — kan het overschreven gebied ongewoon lage foutniveaus tonen vergeleken met aangrenzende originele tekst, omdat het is afgevlakt door extra compressiecycli.
Beide handtekeningen zijn detecteerbaar zelfs na een vakkundige bewerking met professionele software, omdat de onderliggende compressiemathematica niet eenvoudig kan worden gemaskeerd door lettertypen of kleurwaarden aan te passen.
Documenttypen waarbij ELA het meest effectief is
ELA is het betrouwbaarst bij documenten waarvan het origineel een JPEG-scan of -foto is. De techniek is minder nuttig voor native PDF-bestanden of PNG-bestanden, die gebruik maken van verliesvrije of andere compressieschema's.
| Documenttype | Typische manipulatie | ELA-signaal |
|---|---|---|
| Loonstroken (gescande JPEG) | Salaris, netto loon of periode gewijzigd | Heldere halo rondom bewerkte cijfers |
| Bankafschriften (foto) | Saldo of transactiebedrag gewijzigd | Inconsistente foetvloer in cijferkolommen |
| Identiteitsbewijzen (foto) | Naam, geboortedatum of pasfoto vervangen | Grensartefacten rondom ingevoegde elementen |
| Facturen (gescande JPEG) | Totaalbedrag of BTW-nummer vervangen | Vlak gebied waar originele gegevens zijn gewist |
| Huurovereenkomsten (scan) | Naam ondertekenaar gewijzigd | Zichtbare hercompressierand rondom tekstblok |
Loonstrookfraude is een van de meest voorkomende toepassingen. Geldschieters en verhuurders ontvangen regelmatig gescande loonstroken met opgeblazen salarisgcijfers; ELA, gecombineerd met PDF-metadataanalyse, biedt een tweelaagse controle die de meeste grove vervalsingen opspoort.
Klaar om uw controles te automatiseren?
Gratis proefproject met uw eigen documenten. Resultaten binnen 48u.
Gratis proefproject aanvragenEen ELA-controle uitvoeren: hulpmiddelen en werkwijze
Het meest gebruikte publieke hulpmiddel is FotoForensics, dat het originele algoritme van Krawetz implementeert. Forensische platforms en commerciële documentverificatiesystemen integreren ELA doorgaans als onderdeel van een bredere beeldforensische pipeline.
Een praktische werkwijze voor complianceteams:
- De afbeelding uit het document halen. Gescande PDF's converteren naar JPEG-exports per pagina op de oorspronkelijke resolutie. Niet hercomprimeren tijdens de extractie.
- ELA uitvoeren op een vaste kwaliteitsinstelling. Kwaliteit 75 is een standaard referentiepunt; kwaliteit 95 benadrukt subtiele wijzigingen.
- Vlakke gebieden en tekstzones inspecteren. Elk gebied markeren waarbij de foutniveauverdeling afwijkt van de omliggende basislijn.
- Kruiscontrole met metadata. Aanmaakdatum, producersoftware en XMP-revisiegeschiedenis moeten consistent zijn met de opgegeven documentherkomst.
- Vergelijken met een referentiemonster. Indien mogelijk een tweede document van hetzelfde type van dezelfde uitgever opvragen om de referentiecompressiehandtekeningen te vergelijken.
Geen enkel hulpmiddel levert op zichzelf een definitief vervalsingsverdict op. ELA-resultaten zijn indicatoren voor verder onderzoek, geen zelfstandig bewijs.
Beperkingen van Error Level Analysis
Begrijpen waar ELA tekortschiet is even belangrijk als weten waar het werkt. Per juni 2026 verminderen de volgende scenario's de betrouwbaarheid van ELA:
Meerdere compressiecycli. Een document dat is afgedrukt en opnieuw gescand, of door meerdere JPEG-coderingsstappen is gegaan, heeft een afgevlakte en homogene foutkaart die eerdere bewerkingen verbergt. Professionele fraudeurs maken hier gebruik van door afbeeldingen meerdere keren opnieuw te exporteren vóór indiening.
Hoogwaardige bewerkingssoftware. Tools die JPEG-codering native beheren — waaronder Adobe Photoshop's "Opslaan voor web" in maximale kwaliteitsmodus — kunnen de mismatch tussen bewerkte en originele gebieden verminderen, met name bij kwaliteitsinstellingen boven de 90.
Verliesvrije formaten. ELA is niet van toepassing op PNG-, TIFF- of PDF-bestanden die rechtstreeks vanuit een tekstverwerker zijn gegenereerd. Hiervoor zijn metadataanalyse en structurele inspectie de primaire detectiemethoden.
Native ELA-artefacten bij randen. Hoogcontrastgrenzen tussen tekst en achtergrond tonen altijd verhoogde foutniveaus. Deze interpreteren als vervalsingsaanwijzingen zonder naar de omliggende context te kijken, leidt tot valse positieven.
Door AI gegenereerde documenten. Documenten die zijn geproduceerd door generatieve modellen zijn niet samengesteld uit een JPEG-bron en vertonen daarom geen detecteerbare ELA-mismatch. Ze vereisen een andere detectielaag gericht op generatieartefacten en modelhandtekeningen. De AI-detectie van CheckFile pakt deze klasse van vervalsingen apart aan.
Volgens het ENISA Threat Landscape 2024 neemt de geavanceerdheid van documentvervalsingstools die beschikbaar zijn voor niet-technische actoren toe. ELA moet worden beschouwd als één laag in een verdediging-in-diepte-aanpak, niet als enige poortwachter.
ELA combineren met andere forensische technieken
Een meerlaagse analytische aanpak die ELA, metadatainspectie en cross-documentconsistentiecontroles combineert, vertegenwoordigt de meest betrouwbare methodologie voor het identificeren van gemanipuleerde documentafbeeldingen. Geen enkele techniek dekt alle aanvalsvectoren af.
Metadataforensisch onderzoekt de digitale vingerafdruk die in het bestand is ingebed: aanmaakdatum, PDF-producersoftware, XMP-revisiegeschiedenis en EXIF-gegevens voor foto's. Een loonstrook waarvan de EXIF-tijdstempel wijziging drie uur na de opgegeven betaaldatum toont, is een onmiddellijk alarmsignaal.
Bestandsstructuuranalyse inspecteert de interne bytestructuur van PDF's en afbeeldingen op anomalieën: dubbele objectstromen, verweesde gegevensblokken of inconsistente kruisreferentietabellen die wijzen op het injecteren van inhoud.
Cross-documentconsistentie valideert dat twee documenten van dezelfde entiteit — bijvoorbeeld meerdere loonstroken van dezelfde werkgever — dezelfde lettertypen, lay-outmetrieken en ingebedde objectstructuur delen. Inconsistenties komen naar voren wanneer één document in de set is geproduceerd vanuit een andere sjabloon.
Detectie van AI-generatiesignalen identificeert patronen die uniek zijn voor synthetische documenten die zijn gemaakt door grote taalmodellen of afbeeldingsgeneratoren. Ons overzicht van documentforensische tools en AI-vergelijking behandelt dit onderwerp uitgebreid.
Samen bieden deze technieken overlappende dekking: wanneer een fraudeur één controle omzeilt — bijvoorbeeld door een verliesvrije tussenstap te gebruiken om ELA-signalen af te vlakken —, onthullen de andere lagen doorgaans andere anomalieën.
Regelgevend kader in Nederland
Per 24 juni 2026 zijn Nederlandse meldingsplichtige instellingen onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) verplicht klantonderzoeksmaatregelen toe te passen die proportioneel zijn aan het gepresenteerde risico. De Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) schrijven geen specifieke technische methoden voor documentverificatie voor, maar vereisen wel robuuste systemen en controles om vervalste of gewijzigde documenten te detecteren, zowel bij onboarding als bij doorlopend toezicht.
ELA, als onderdeel van een gedocumenteerde forensische workflow, voldoet aan de standaard "passende en risicosensitieve" maatregelen wanneer het systematisch wordt toegepast en de resultaten worden vastgelegd in het klantrisicodossier. Instellingen moeten ervoor zorgen dat ELA-uitvoer wordt gelogd samen met de besluitvormingsreden ter ondersteuning van audittrails.
Voor een verdieping van uw documentvergelijkingspraktijken, raadpleeg onze gids voor documentverificatie.
Veelgestelde vragen
Wat laat ELA precies zien?
ELA toont waar het compressiepatroon van een afbeelding afwijkt van wat verwacht zou worden als de afbeelding nooit was gewijzigd. Lichtere gebieden in de ELA-uitvoer duiden op regioen die extra compressiecycli hebben ondergaan of uit een andere bron afkomstig zijn — beide situaties suggereren bewerking na de opname.
Kan ELA alle soorten documentvervalsingen detecteren?
Nee. ELA is effectief bij ongewijzigde JPEG-documenten die niet door meerdere hercompressiecycli zijn gegaan. Het detecteert geen wijzigingen in verliesvrije formaten (PNG, native PDF) of in door AI gegenereerde documenten, die geen origineel JPEG-compressiepatroon hebben om van af te wijken.
Welke gratis tools kan ik gebruiken voor ELA?
FotoForensics (fotoforensics.com) is de meest gebruikte gratis online implementatie van het algoritme van Neal Krawetz. Het accepteert JPEG- en PNG-uploads en geeft een geannoteerde ELA-kaart terug. Voor documentverificatie op productieschaal integreren commerciële platforms ELA als onderdeel van een bredere geautomatiseerde pipeline.
Hoe verschilt ELA van metadataanalyse?
ELA analyseert het compressiepatroon op pixelniveau om te detecteren waar visuele inhoud mogelijk is gewijzigd. Metadataanalyse onderzoekt de niet-zichtbare ingebedde gegevens (aanmaakdatums, software, revisiegeschiedenis) om te detecteren wanneer en hoe het bestand is gewijzigd. Ze zijn complementair: ELA identificeert WAAR in de afbeelding een bewerking heeft plaatsgevonden; metadataanalyse onthult WANNEER en HOE het bestand is gewijzigd.
Zijn ELA-resultaten toelaatbaar als bewijs bij Nederlandse rechtbanken?
ELA-resultaten kunnen forensische rapporten ondersteunen die zijn opgesteld door gekwalificeerde onderzoekers, maar ELA-uitvoer alleen vormt geen zelfstandig bewijs van vervalsing bij Nederlandse rechtbanken. Het wordt gebruikt als een voorlopige indicator die een gedetailleerder onderzoek triggert. Toelaatbaarheid hangt af van de methodologie van de onderzoeker, de keten van bewaring en hoe de analyse is gedocumenteerd.
Voor waar dit risico in het CheckFile-aanbod past, zie onze AI- en deepfake-detectieaanpak.
Blijf op de hoogte
Ontvang onze compliance-analyses en praktische gidsen rechtstreeks in uw inbox.