Gepersonaliseerde phishingmails is meest effectief
Phishing-e-mails die persoonlijke gegevens gebruiken, vertrouwde merken imiteren of interne werkgerelateerde thema’s behandelen zijn het meest succesvol in het verleiden van ontvangers tot interactie.
Dat concludeert het Q4 2025 Phishing Simulation Roundup van cybersecurityplatform KnowBe4, gebaseerd op gesimuleerde phishingtests uitgevoerd tussen oktober en december 2025. Uit het rapport komt naar voren dat personalisatie de klikratio’s aanzienlijk doet stijgen. De twee meest aangeklikte onderwerpregels bevatten de naam van het bedrijf van de ontvanger.
Werkgerelateerde onderwerpen
Onderwerpen gerelateerd aan de eigen organisatie domineren de ranglijst. Alle top 10 meest aangeklikte onderwerpregels zijn werkgerelateerde thema’s, waarbij HR-gerelateerde onderwerpen in 46% van de gevallen voorkomen. E-mails die leken op IT-meldingen, trainingupdates of routinematige HR-communicatie blijken de meest effectieve phishingmethodes.
Dit sluiten aan bij eerdere bevindingen uit het State of Human Risk Report 2025: The New Paradigm of Securing People in the AI Era, waarin KnowBe4 op het belang van geïntegreerd human risk management wijst nu cybercriminelen steeds geavanceerdere technieken inzetten.
Domeinspoofing op grote schaal ingezet
Een analyse van de gebruikte phishingmethodes toont aan dat 87% van de 20 meest aangeklikte hyperlinks interne onderwerpen betrof, terwijl 90% gebruikmaakte van domeinspoofing. Aanvallers blijken hiermee nauwkeurig legitieme bedrijfsinfrastructuur na te bootsen om vertrouwen te wekken en snelle actie uit te lokken.
De top 10 meest gerapporteerde aanvallen imiteerden in veel gevallen vertrouwde merken zoals Microsoft, ShareFile, Google, Zoom, Adobe, Coinbase en DHL, evenals interne IT- en HR-afdelingen. Van de phishing-landingspagina’s waarmee gebruikers interactie hadden was 62% voorzien van merkbranding, waarbij Microsoft met 22,9% het meest nagebootste merk is. Socialmediaplatforms vormen gezamenlijk 14,5% van de gevallen.
Security-bewuste cultuur opbouwen
“Het feit dat bijna 90% van de meest aangeklikte phishingpogingen domeinspoofing bevat, laat zien dat aanvallers zeer overtuigende illusies van legitimiteit weten te creëren”, aldus Erich Kron, CISO-adviseur bij KnowBe4. “Wanneer medewerkers hun bedrijfsnaam, de naam van hun manager of vertrouwde interne systemen in een e-mail zien, is hun natuurlijke neiging om het bericht te vertrouwen en snel te handelen. Organisaties moeten erkennen dat technologie alleen niet voldoende is. Het opbouwen van een security-bewuste cultuur waarin medewerkers zich gesteund voelen om even te pauzeren en te verifiëren, is onze sterkste verdediging tegen aanvallen die ons steeds beter weten te misleiden.”
Bekijk hier de infographic van de Q4 2025 Phishing Simulation Roundup.
Meer over Security
Over Wouter Hoeffnagel
