Phishingaanvallen zijn steeds vaker vermomd als interne communicatie, vooral vanuit HR of IT. In ruim 60% van de gevallen trapten medewerkers in e-mails van phishers die intern leken te zijn.
Dat blijkt uit het Q1 2025 KnowBe4 Phishing Report. De gegevens komen van het HRM+ platform van dat bedrijf. Dit is een alles-in-één-oplossing die organisaties helpt om menselijke risico’s te beheren met AI-gestuurde training, e-mailbeveiliging en real-time coaching. Het onderzoek vond plaats tussen 1 januari en 31 maart 2025.
Vooral phishingmails die lijken te komen van interne afdelingen, zoals HR of IT, zijn het vaakst succesvol. Maar liefst 60,7% van de aangeklikte simulaties verwees naar een intern team en 49,7% specifiek naar HR. Ondanks dat cybercriminelen hun technieken voortdurend aanpassen, blijft phishing via e-mail een van de populairste aanvalsmethodes. De phishers spelen in op emoties en actuele thema’s. Zo slagen ze erin om deze mails geloofwaardig te laten lijken. Ze halen ontvangers over op links te klikken of bijlagen te openen.
Urgentie scoort
Een opvallende uitkomst is dat een ogenschijnlijk onschuldige onderwerpregel als ‘Typfout in je bericht?’ het vaakst werd aangeklikt (12,3%), gevolgd door ‘IT: Internetrapport’ (11%) en HR-gerelateerde meldingen als ‘Beoordeling van je prestaties’ of ‘Declaratieverzoek ontvangen’ (beide ruim 10%). Deze onderwerpen wekken de indruk van urgentie of persoonlijke relevantie, wat het klikgedrag sterk beïnvloedt.
Tot de meest effectieve onderwerpen in simulaties behoorden onder andere “Zoom Clips” van leidinggevenden, HR-trainingsrapporten en waarschuwingen over mailservers. Deze onderwerpen komen ook terug in de top tien van daadwerkelijk gemelde phishingaanvallen. Denk aan een zogenaamd Zoom-bericht van een manager, een memo over ongebruikt verlof of een melding dat een Uber-account wordt verwijderd.
Phishing-links en QR-codes werken nog steeds
Phishing-links blijven een grote dreiging vormen. Uit de analyse blijkt dat mensen vooral klikken op links die ogenschijnlijk van interne bronnen komen of van bekende merken. In 68,6% van de gevallen maakten de phishers gebruik van zogenaamde domain spoofing – cyberfraude waarbij een aanvaller een vertrouwd domein namaakt om gebruikers te misleiden. Vooral merkpagina’s van Microsoft, LinkedIn en Google werden vaak misbruikt, samen met die van de organisatie zelf en identiteitsplatform Okta. Deze neplandingspagina’s zijn bedoeld om inloggegevens of andere gevoelige informatie te stelen.
Daarnaast blijkt uit het rapport dat phishing via QR-codes nog steeds werkt. De drie meest gescande QR-code-simulaties hadden betrekking op: een nieuw HR-beleid rond drugs en alcohol (14,7%), een DocuSign-document om te ondertekenen (13,7%) en een felicitatiebericht van Workday (12,7%). Bij campagnes met bijlagen openden ontvangers het vaakst PDF’s (53%), gevolgd door HTML-bestanden (28,5%) en Word-documenten (18,5%).
Phishers maken slim gebruik van bekende merken
“Cybercriminelen weten maar al te goed dat medewerkers gewend zijn snel te reageren op berichten die afkomstig lijken van HR of IT,” zegt Martin Kraemer, security awareness evangelist bij KnowBe4. “Ze maken bovendien slim gebruik van merken als Microsoft, LinkedIn en Google – platforms die medewerkers dagelijks gebruiken. De geraffineerde, psychologische aanpak van deze aanvallen benadrukt hoe belangrijk het is om menselijk risico centraal te stellen in de cyberbeveiligingsstrategie. Organisaties moeten inzetten op een sterke beveiligingscultuur, waarin medewerkers getraind worden om verdachte communicatie altijd te controleren – ook als die van een leidinggevende of interne afdeling lijkt te komen.”
Tip:
- Cyberjaarverslag biedt grip op digitale beveiliging en compliance