Een nieuw rapport van Barracuda Networks laat zien hoe phishing-aanvallen in 2025 geavanceerder en moeilijker te detecteren werden. Het aantal bekende phishing-kits verdubbelde, waarbij 90 procent van de grootschalige campagnes afhankelijk was van phishing-as-a-service.
Volgens het rapport ‘Threat Spotlight: How phishing kits evolved in 2025’ van Barracuda baseerde 90 procent van de grootschalige phishing-campagnes zich afgelopen jaar op phishing-kits die als service worden verkocht of verhuurd. Die kits maakten het voor minder ervaren aanvallers eenvoudiger om aanvallen uit te voeren, terwijl tegelijkertijd de technische verfijning toenam.
Dat Phishing-as-a-Service steeds toegankelijker wordt, was overigens het hele jaar al bekend. Begin 2025 berichtten we over LevelBlue-onderzoek dat deze trend aanstipte. Bovenop deze kant-en-klare phishingkits waren bekende malwarefamilies tevens eenvoudig toe te passen, waarbij de vijf grootste malwarefamilies verantwoordelijk waren voor 60 procent van alle waargenomen aanvallen.
AI maakt phishing realistischer
Phishing-aanvallen zijn overwegend hetzelfde gebleven, al is dat op een oppervlakkige manier bekeken. Zogenaamde HR-berichten, factuurfraude, voicemailscams; ze zijn nog steeds populair onder aanvallers. Het grote verschil, zo legt Barracuda Networks uit, zat hem in het realisme van de aanvallen. Aanvallers gebruikten steeds vaker generatieve AI om overtuigende e-mails te produceren die sterk overeenkomen met de toon, branding en schrijfstijl van legitieme diensten zoals Microsoft en DocuSign.
Daarnaast werden QR-codes vaak in e-mails en documenten ingebed. Het doel daarbij is om slachtoffers van bedrijfsdesktops naar minder beschermde mobiele apparaten leiden. Sommige campagnes splitsten of nestelden zelfs QR-codes om detectie door e-mailsecuritytools te ontwijken. Deze vorm van phishing wordt ook wel ‘quishing’ genoemd of ‘qishing’.
Lees ook: ‘Quishing-aanvallen nemen flink toe en omzeilen e-mailsecurity’
Probleem ook aan de andere kant
Security komt van twee kanten. Meer aanvallers en complexere aanvalsmethodes dragen bij aan een toegenomen cyberrisico. Toch valt er ook veel te verbeteren aan de kant van de verdediging. Dat begint bij het opmerken van phishing-mails, dat nog altijd doorgaans de verantwoordelijkheid geacht lijkt te zijn van de persoon die gemaild wordt. Toch is het herkennen hiervan lastiger dan ooit. Hierdoor rapporteren vele medewerkers verdachte mails niet of herkennen ze die niet als zodanig. Daarnaast is er een tekort aan securitypersoneel dat kan reageren op meldingen. Ook is er veelal geen geautomatiseerde incident response om inboxen vooraf te controleren. Daarnaast gaan veel gebruikers er simpelweg vanuit dat securitytools er zijn om bescherming te bieden, waardoor oplettendheid aan hun kant niet of minder nodig geacht wordt. Dat blijkt allemaal uit een ander Barracuda Networks-rapport “The Email Security Breach Report 2025“.