AI heeft phishingaanvallen veel krachtiger gemaakt: volgens Microsoft zijn AI-ondersteunde phishingpogingen 4,5 keer effectiever geworden. In het jaarverslag over het Microsoft-fiscaaljaar 2025 (juli 2024–juni 2025) waarschuwt het bedrijf dat die ‘massive return on investment’ kwaadwillenden zal aanmoedigen om AI aan hun arsenaal toe te voegen. Zoals Microsoft het formuleert: deze toename in schaal en efficiëntie is ‘the most significant change in phishing over the last year.’
Phishing
De rapportage maakt duidelijk dat digitaal criminaliteit niet afgenomen is; integendeel: aanvallers hebben hun efficiëntie en succes vergroot dankzij AI. Het gebruik van AI beperkt zich niet tot het automatisch genereren van overtuigende phishingmails. Criminals zetten AI in om sneller te scannen op kwetsbaarheden, gerichter onderzoek te doen, social engineering bij personeelsleden toe te passen en zelfs malware te ontwikkelen. Nieuwe technieken zoals voice cloning en deepfake-video’s vergroten de geloofwaardigheid van aanvallen, terwijl grote taalmodellen op zich nieuwe aanvalsvlakken openen voor misbruik.
Ook staatsactoren gebruiken AI steeds vaker. Amy Hogan-Burney, Microsoft corporate VP of customer security and trust, schrijft dat “nation-state actors, too, have continued to incorporate AI into their cyber influence operations” en dat deze activiteit de afgelopen zes maanden duidelijk is toegenomen. Ter illustratie: Microsoft vond in juli 2023 geen voorbeelden van AI-gegenereerde content van door staten gesteunde groepen; die aantallen stegen naar ongeveer 50 in juli 2024, zo’n 125 in januari en ongeveer 225 in juli.
Verdeling van motieven en gevolgen
Hoewel staatsaanvallen ernstig blijven — in de VS documenteerde Microsoft 623 zulke gebeurtenissen — lopen de meeste organisaties meer direct gevaar van financieel gemotiveerde cybercriminelen. Van alle aanvallen met bekende motieven was 52 procent gericht op financieel gewin; spionage-only aanvallen maakten slechts vier procent uit. Wanneer Microsoft incidentonderzoekers het doel konden bepalen, betroffen 37 procent datadiefstal, 33 procent afpersing, negentien procent pogingen tot destructieve of handmatige (human-operated) ransomware, en zeven procent infrastructuuropbouw voor toekomstige aanvallen.
Initiële toegang
Een opvallende trend in het rapport is de opkomst van ClickFix , een social-engineeringmethode waarin slachtoffers worden misleid om kwaadaardige commando’s op hun eigen systeem uit te voeren, vaak vermomd als legitieme fixes. ClickFix explodeerde vanaf november en was volgens Microsoft Defender Experts het meest voorkomende eerste toegangspunt: 47 procent van de geobserveerde aanvallen startte met ClickFix, tegenover 35 procent met klassieke phishing. Dit illustreert een bredere verschuiving: aanvallers “loggen in, ze breken niet in” en bouwen meertraps-aanvallen die technische exploits, social engineering en misbruik van legitieme platforms combineren.
Rookgordijn
Een concreet voorbeeld combineerde e-mailbombardement, vishing (voice-phishing) en Microsoft Teams-imitatie om zich voor te doen als IT-support. E-mailbombardementen — iemand inschrijven op duizenden nieuwsbrieven — dienen tegenwoordig niet alleen als rookgordijn, maar als eerste fase in een keten die leidt tot installatie van remote access tools, malware en langdurige aanwezigheid in een netwerk.
Kortom: AI vergroot niet alleen de effectiviteit van phishing, het verandert het speelveld. Organisaties moeten hun verdediging moderniseren en zich voorbereiden op meer geavanceerde, multi-stage aanvallen.