Phishing werd jarenlang beschouwd als een fundamenteel cybersecurityprobleem. Het was irritant, overduidelijk en meestal gemakkelijk te herkennen. Een vreemde afzender, grammaticale fouten of een verdachte link verraadden het. Gebruikers werd aangeraden om "na te denken voordat ze klikken" en organisaties vertrouwden op e-mailfilters om de meeste bedreigingen te onderscheppen.
Die wereld bestaat niet meer.
In 2025 is phishing de belangrijkste manier waarop cyberaanvallen initiëren. Het is uitgegroeid tot een geavanceerde aanvalsstrategie in meerdere fasen, gericht op menselijk vertrouwen en digitale identiteit in plaats van op systemen en netwerken. Moderne phishingcampagnes, aangedreven door kunstmatige intelligentie en verspreid via meerdere kanalen, zijn ontworpen om inloggegevens, sessietokens en toegangsrechten te stelen, waardoor aanvallers zich onopgemerkt binnen organisaties kunnen bewegen.
Deze verschuiving heeft alles veranderd. Identiteit is nu de echte grens, en phishing is de snelste manier om die te doorbreken.
Moderne phishing: waarom één klik catastrofale gevolgen kan hebben
In deze aflevering van The Microsoft Playbook duiken we in de nieuwste en meest creatieve phishingaanvallen.
Samen met Andy Nolan, directeur strategische programma's bij TrustedTech, bespreken we praktijkvoorbeelden van phishing die veel verder gaan dan de klassieke e-mail met de vraag om je wachtwoord opnieuw in te stellen. Van misleidende domeinnamen zoals rncrosoft.com tot kwaadaardige pdf's en fysieke aanvallen met geïnfecteerde USB-sticks: dit gesprek laat zien hoe een enkele klik of het aansluiten van een apparaat kan leiden tot catastrofale beveiligingslekken.
Je hoort uit eerste hand verhalen van Andy, die meer dan 15 jaar ervaring heeft in IT en beveiliging, waaronder:
- Hoe een simpele phishing-e-mail leidde tot een enorm datalek in de volwassenenentertainmentindustrie.
- Hoe aanvallen door natiestaten de menselijke nieuwsgierigheid in combinatie met fysieke media benutten.
- Waarom de gelaagde beveiliging van Microsoft Defender cruciaal is om deze bedreigingen te stoppen voordat ze escaleren.
We bespreken ook hoe Microsoft Defender achter de schermen werkt, inclusief URL-detonatie, sandboxing, domeinreputatiecontroles, USB-controles en anomaliedetectie. Daarnaast laten we zien hoe de Cloud Security Envisioning Workshop van TrustedTech organisaties helpt om lacunes te identificeren en hun beveiligingspositie te versterken voordat aanvallers dat doen.
Phishing is niet langer beperkt tot de inbox.
Phishing begint nog steeds vaak met een e-mail, maar eindigt daar zelden. De aanvallers van vandaag begrijpen dat organisaties flink hebben geïnvesteerd in e-mailbeveiliging, dus passen ze zich aan. Als een e-mail niet lukt, proberen ze een sms. Als dat ook niet lukt, bellen ze of sturen ze een bericht via een samenwerkingstool. De aanval gaat door totdat iemand reageert.
Deze volharding werkt omdat phishing niet langer alleen draait om gebruikers te verleiden op links te klikken. Het gaat erom in de loop van de tijd vertrouwen op te bouwen, vaak via meerdere interacties en kanalen, om legitimiteit te vestigen.
Tegelijkertijd hebben aanvallers hun focus verlegd. In plaats van rechtstreeks in netwerken in te breken, richten ze zich nu op mensen en de digitale identiteiten die hen vertegenwoordigen. Inloggegevens, sessiecookies, OAuth-tokens en cloudtoegangssleutels zijn nu de meest waardevolle activa in een omgeving waar applicaties in de cloud draaien en medewerkers overal vandaan werken.
Hoe AI phishing voorgoed veranderde
Kunstmatige intelligentie heeft veel van de obstakels weggenomen die phishingaanvallen voorheen belemmerden. In het verleden vereiste succesvolle phishing taalvaardigheid, cultureel bewustzijn en aanzienlijke tijd en inspanning. Tegenwoordig doet AI dat allemaal direct.
Aanvallers gebruiken AI om gelikte, contextbewuste berichten te genereren die lijken te zijn geschreven door echte collega's. Deze berichten verwijzen naar functies, interne tools, recente projecten en zelfs actuele gebeurtenissen. Wat vroeger gerichte "spear-phishing" was, wordt nu op grote schaal massaal geproduceerd, waardoor elk bericht persoonlijk aanvoelt.
De impact reikt veel verder dan e-mail. AI-gestuurde chatbots kunnen slachtoffers in realtime gesprekken betrekken, op een natuurlijke manier op vragen reageren en hun aanpak aanpassen als het doelwit aarzelt. Tools voor stemklonen kunnen de stem van een leidinggevende met verbazingwekkende nauwkeurigheid nabootsen. Deepfakes in video's kunnen realistische gezichten in virtuele vergaderingen plaatsen.
Er zijn al daadwerkelijke incidenten geweest waarbij werknemers deelnamen aan videogesprekken die ogenschijnlijk hun CEO en CFO aan het woord lieten, om er later achter te komen dat alle deelnemers door AI gegenereerde nepaccounts waren. In die gevallen wisten de aanvallers de slachtoffers ervan te overtuigen grote financiële overboekingen te autoriseren.
De ongemakkelijke waarheid is dat iemand zien en horen niet langer een bewijs is van iemands identiteit.
Traditionele detectiemethoden schieten tekort in deze omgeving. Door AI gegenereerde phishingberichten missen vaak duidelijke waarschuwingssignalen. Ze zijn grammatisch correct, relevant en emotioneel overtuigend. Filters die gebaseerd zijn op bekende patronen of signaturen slagen er vaak niet in ze te detecteren, waardoor gebruikers weinig reden hebben om argwaan te koesteren.
Identiteit wordt het primaire doelwit.
Naarmate organisaties hun netwerkbeveiliging verbeterden, pasten aanvallers zich aan door zich te richten op identiteit. Als een aanvaller zich succesvol kan voordoen als een legitieme gebruiker, zullen de meeste systemen hem automatisch vertrouwen.
Wachtwoorddiefstal komt nog steeds voor, maar moderne aanvallen gaan een stap verder. In plaats van alleen inloggegevens te stelen, stelen aanvallers sessietokens en authenticatiecookies. Met deze gegevens kunnen ze een reeds geauthenticeerde sessie hergebruiken en zo de multifactorauthenticatie volledig omzeilen. Deze techniek, bekend als sessiekaping of token replay, wordt tegenwoordig veel gebruikt bij grote datalekken.
Single Sign-On en OAuth zijn weliswaar handig, maar vergroten ook het aanvalsoppervlak. Een enkel gecompromitteerd token kan toegang geven tot meerdere cloudservices. Phishing met OAuth-toestemming is bijzonder gevaarlijk omdat er helemaal geen wachtwoord nodig is. Slachtoffers worden misleid om een kwaadaardige applicatie goed te keuren, die vervolgens via legitieme API's permanente toegang krijgt tot e-mail, bestanden of agenda's.
Aanvallers richten zich ook op niet-menselijke identiteiten, zoals serviceaccounts, API-sleutels en automatiseringsgegevens. Deze accounts hebben vaak ruime bevoegdheden en minimale controle. In cloudomgevingen met duizenden identiteiten kan één blootgestelde sleutel leiden tot een grootschalige inbreuk.
Een van de meest effectieve technieken die tegenwoordig worden gebruikt, is adversary-in-the-middle phishing. Bij deze aanvallen worden proxy-gebaseerde phishingwebsites gebruikt die het verkeer tussen het slachtoffer en de echte inlogpagina doorsturen. De gebruiker ziet een legitieme website, voltooit de MFA-verificatie met succes en heeft geen idee dat zijn of haar inloggegevens en sessietokens in realtime zijn onderschept.
Doordat deze tools nu als een dienst worden aangeboden, kunnen zelfs aanvallers met weinig ervaring sterke authenticatiemaatregelen omzeilen.
Phishing is nu bewust via meerdere kanalen uitgevoerd.
Moderne phishingcampagnes maken zelden gebruik van één enkel bericht. In plaats daarvan combineren ze e-mail, telefoongesprekken, sms-berichten en chatplatforms tot gecoördineerde pogingen tot social engineering.
Voice-phishing, ook wel vishing genoemd, is bijzonder effectief. Aanvallers doen zich vaak voor als IT-medewerkers, leveranciers of leidinggevenden en creëren een gevoel van urgentie. Sommige campagnes vermijden links volledig en instrueren slachtoffers om een telefoonnummer te bellen. Deze aanpak omzeilt e-mailscantools en verplaatst de aanval naar een kanaal waar veel organisaties minder controlemechanismen hebben.
Phishing via sms, ook wel smishing genoemd, blijft toenemen. Mensen hebben de neiging om sms'jes meer te vertrouwen dan e-mails, vooral op mobiele apparaten waar URL's moeilijker te controleren zijn. Veel malwarecampagnes voor mobiele apparaten hebben zich op deze manier verspreid, vermomd als bezorgingsmeldingen of accountwaarschuwingen.
Samenwerkingsplatformen zijn ook doelwit geworden. Aanvallers versturen berichten via Teams, Slack, LinkedIn en WhatsApp, waarbij ze zich vaak voordoen als medewerkers of recruiters. Omdat deze platforms persoonlijker en informeler aanvoelen, zijn gebruikers eerder geneigd om deel te nemen.
Business Email Compromise (BEC) is geëvolueerd naar wat velen nu "BEC 3.0" noemen. In plaats van overduidelijk nepmails misbruiken aanvallers legitieme diensten zoals Dropbox, Google Docs of PayPal. Slachtoffers ontvangen echte notificatiemails van vertrouwde platforms, maar de fraude zit verborgen in gedeelde bestanden, opmerkingen of vervolginstructies.
De rode draad door al deze aanvallen is vertrouwen. Aanvallers gebruiken echte diensten, bekende tools en geloofwaardige persona's om wantrouwen te wekken.
Ontwijkingstechnieken die traditionele verdedigingsmechanismen verslaan
Naarmate de detectie verbetert, vinden aanvallers nieuwe manieren om hun activiteiten te verbergen. Een populaire techniek is HTML-smokkel, waarbij een ogenschijnlijk onschuldig HTML-bestand kwaadaardige code rechtstreeks in de browser van het slachtoffer genereert. Omdat de malware lokaal wordt gecompileerd, passeert deze nooit e-mailgateways of netwerkscanners.
Aanvallers gebruiken ook polymorfe links, die in de loop van de tijd van gedrag veranderen. Een link kan tijdens een scan veilig lijken, maar uren later doorverwijzen naar een phishingwebsite. Sommige campagnes genereren unieke links voor elk slachtoffer, waardoor blokkeerlijsten ineffectief zijn.
Infectieketens met meerdere stappen komen ook vaak voor. Een e-mail leidt naar een pdf-bestand met een QR-code, die de gebruiker uiteindelijk naar een phishingwebsite leidt. Tegen de tijd dat beveiligingsmedewerkers onderzoek doen, is de inhoud mogelijk al verdwenen.
Om geautomatiseerde scans te voorkomen, bevatten phishingpagina's vaak CAPTCHA's en legitieme beveiligingsfuncties. Deze blokkeren bots en geven gebruikers de geruststelling dat de site "veilig" is.
Aanvallers hosten steeds vaker kwaadaardige content op vertrouwde cloudplatformen zoals SharePoint, OneDrive en Google Drive. Het verkeer van deze services gaat op in de normale bedrijfsactiviteiten, waardoor het moeilijker te detecteren is.
Phishing als toegangspoort tot ransomware
Phishing is niet langer alleen een probleem van gegevensdiefstal. Het is nu de belangrijkste manier waarop ransomware wordt verspreid.
Veel ransomware-aanvallen beginnen met een enkele phishing-e-mail of social engineering-interactie. Zodra aanvallers toegang hebben verkregen, stelen ze inloggegevens, verhogen ze hun bevoegdheden en bewegen ze zich lateraal door de omgeving. In de loop van dagen of weken schakelen ze beveiligingsmaatregelen uit, lokaliseren ze back-ups en bereiden ze het netwerk voor op een maximale impact.
Wanneer ransomware eenmaal is ingezet, is de schade enorm. Bedrijfsprocessen worden stilgelegd, gegevens worden versleuteld en herstel wordt duur en tijdrovend.
Ransomwaregroepen geven de voorkeur aan phishing omdat het een stille en betrouwbare methode is. Gecompromitteerde identiteiten stellen aanvallers in staat om op te gaan in de menigte en detectie te ontwijken, waardoor ze geen waarschuwingen ontvangen. Tegen de tijd dat de versleuteling begint, hebben de aanvallers vaak al de controle over cruciale systemen.
Door phishing in een vroeg stadium te stoppen, kan ransomware volledig worden tegengehouden. Als dit niet gebeurt, kan dit catastrofale gevolgen hebben.
Hoe ziet geavanceerde phishingbescherming er nu uit?
Het afweren van moderne phishing vereist een mentaliteitsverandering. Preventie alleen is niet voldoende. Organisaties moeten uitgaan van een mogelijke inbreuk en zich richten op het beperken van de impact.
Een identiteitsgerichte, Zero Trust-aanpak is essentieel. Elk toegangsverzoek moet continu worden geverifieerd, niet alleen bij het inloggen. Bevoegdheden moeten worden beperkt en laterale verplaatsing moet worden tegengegaan.
Sterke authenticatie is belangrijk, maar niet alle MFA-methoden zijn gelijkwaardig. Sms-codes en pushmeldingen kunnen worden onderschept of misbruikt. Phishingbestendige methoden, zoals FIDO2-beveiligingssleutels en wachtwoorden, bieden aanzienlijk betere bescherming omdat ze niet kunnen worden nagemaakt op nepwebsites.
Gedragsmonitoring speelt een cruciale rol. Zelfs als een aanvaller geldige inloggegevens steelt, wijkt zijn gedrag vaak aanzienlijk af van dat van de echte gebruiker. Ongebruikelijke inloglocaties, abnormale toegang tot gegevens en onverwacht applicatiegebruik zijn allemaal signalen dat er iets mis is.
Beveiliging moet verder gaan dan alleen e-mail. Werknemers hebben training nodig die aansluit op moderne dreigingen, zoals deepfakes, spraakfraude en multichannel-aanvallen. Ze moeten worden aangemoedigd om rustiger aan te doen, ongebruikelijke verzoeken te verifiëren en alles wat verdacht is te melden, ongeacht het medium.
Ook de controle op cloudidentiteit moet worden aangescherpt. OAuth-machtigingen moeten onder toezicht staan, de geldigheidsduur van tokens moet worden beperkt en serviceaccounts moeten nauwlettend worden gecontroleerd.
De toekomst van phishing
Phishing en identiteitsgerichte aanvallen zullen zich blijven ontwikkelen. AI maakt snellere, persoonlijkere en moeilijker te detecteren aanvallen mogelijk. Communicatiekanalen zullen steeds vager worden en aanvallers zullen de platforms misbruiken die mensen het meest vertrouwen.
Beveiligingsinstanties zullen ook steeds meer gebruikmaken van AI om afwijkingen te detecteren, identiteiten te verifiëren en analisten te ondersteunen. Maar technologie alleen zal het probleem niet oplossen.
Succesvolle organisaties zijn organisaties die identiteit als de basis van beveiliging beschouwen. Het beschermen van inloggegevens, tokens en toegangsstromen is belangrijker dan welke tool dan ook.
Phishing zal wellicht nooit helemaal verdwijnen, maar de impact ervan kan wel worden verminderd. Door te focussen op identiteit, gedrag en weerbaarheid kunnen organisaties de concurrentie voorblijven in een dreigingslandschap waar vertrouwen zelf het doelwit is geworden.
