Barracuda Networks heeft hun 2026 Email Threats Report gepubliceerd. Uit analyse van ruim 3,1 miljard e-mails blijkt dat AI-gestuurde aanvallen en phishing-as-a-service kits het volume en de slagingskans van phishing significant verhogen. Aanvallers schakelen over op heimelijkere methoden, zoals QR-codes in PDF’s en account-overname om traditionele beveiliging te omzeilen.
Het rapport is gebaseerd op analyse van miljarden mails die in januari 2026 zijn verzameld via wereldwijde telemetrie. Eén op de drie e-mails is schadelijk of ongewenste spam. Bijna de helft van die schadelijke activiteit, 48 procent, bestaat uit phishing. Opvallend is de combinatie van twee ‘versnellers’. Phishing-as-a-service kits zijn verantwoordelijk voor 90 procent van de grootschalige phishingcampagnes. Daar komt AI bovenop. Eerder onderzoek liet al zien dat ruim 82 procent van phishing-e-mails AI inzet, wat de aanvalssnelheid en overtuigingskracht significant vergroot.
QR-codes en account-overnamen als nieuwe aanvalsvector
Het rapport beschrijft een verschuiving in aanvalstechnieken. Aanvallers stappen af van schadelijke bestanden en sturen ontvangers liever via weblinks naar kwaadaardige bestemmingen. Zeven op de tien schadelijke PDF’s bevatten QR-codes die weer doorverwijzen naar phishingwebsites. Ook meer dan tien procent van de HTML-bijlagen is schadelijk. Dat sluit aan bij bevindingen uit het vorige jaarrapport: in het 2025 Email Threats Report stelde Barracuda al dat bijna een kwart van alle HTML-bijlagen schadelijk was.
Ruim een derde van de bedrijven, 34 procent, krijgt maandelijks te maken met minstens één account-overname incident. Via gecompromitteerde mailboxen versturen aanvallers vervolgens e-mails vanuit betrouwbare adressen, waardoor traditionele filters niets vermoeden en er dus niks mee doen.
Geïntegreerde aanpak noodzakelijk
Barracuda heeft zijn platform BarracudaONE eerder dit jaar al uitgebreid met nieuwe functionaliteiten gericht op e-mailbeveiliging, identiteitsbescherming en netwerkbeveiliging. Het nieuwe rapport bouwt daarop voort.
“E-mail is niet langer alleen een communicatiekanaal; het is de frontlinie van identiteit, vertrouwen en bedrijfscontinuïteit”, zegt Merium Khalid, Director of SOC Offensive Security bij Barracuda. Organisaties die voorop willen lopen, moeten volgens haar geïntegreerde e-mailsecurity combineren met identiteitsbescherming en geautomatiseerde respons.
Lees ook: Top vier merken goed voor helft phishingpogingen wereldwijd