AI-phishing rukt op: Zscaler ziet run op versleuteld verkeer en MFA-omzeiling
Er is een fundamentele verschuiving gaande binnen de wereldwijde cybercriminaliteit. Hoewel het totale phishingvolume voor het tweede jaar op rij is gedaald met 20 procent, neemt de effectiviteit en verfijning van de aanvallen juist drastisch toe. Cybercriminelen ruilen massa-aanvallen in voor dodelijke precisie. Dit blijkt uit het nieuwe ThreatLabz 2026 Phishing and Initial Access Report van cybersecurityspecialist Zscaler, gebaseerd op data van 's werelds grootste inline security cloud.
De daling in het ruwe phishingvolume is volgens de onderzoekers geen teken van terugtrekking, maar van evolutie. Aanvallers richten zich nu op geavanceerde, door kunstmatige intelligentie (AI) versnelde lokmethoden. Met behulp van AI-gestuurde 'text-to-site'-tools worden traditionele signalen zoals slechte grammatica en generieke lay-outs geëlimineerd. Het ThreatLabz-team identificeerde ruim 413.000 door AI gegenereerde website-instances, waarmee aanvallers binnen enkele minuten gepolijste en merkconforme phishingportalen kunnen opschalen.
Dienstensector hardst getroffen door AI-aanvallen
Deze hoogwaardige lokmethoden blijken bijzonder effectief in het nabootsen van vertrouwde bedrijfsprocessen. De dienstensector ondervindt de grootste impact van deze verschuiving. Het aantal gerichte aanvallen op deze sector steeg met maar liefst 65,5 procent, omdat aanvallers misbruik maken van op vertrouwen gebaseerde interacties zoals facturering, onboarding en contractverlengingen. Microsoft en Google blijven hierbij de meest geïmiteerde merken, wat de voortdurende focus op het kraken van bedrijfsidentiteiten onderstreept.
Naast AI zetten cybercriminelen zwaar in op camouflage. Maar liefst 95,2 procent van de phishingpogingen zit tegenwoordig verborgen in versleuteld verkeer (HTTPS). Verouderde beveiligingssystemen zonder diepgaande TLS-inspectie worden hierdoor moeiteloos omzeild. Bovendien worden geavanceerde kits zoals 'BlackForce' ingezet om actieve sessies te kapen en multifactorauthenticatie (MFA) in real-time te omzeilen.
Maandenlange digitale verkenning vooraf
Het rapport legt ook de uitgebreide voorbereiding van moderne cybercriminelen bloot. Telemetrie van wereldwijde loksystemen (decoys) registreerde bijna 90 miljoen vijandige interacties afkomstig van 1,37 miljoen unieke IP-adressen. Dit wijst op grootschalige scanning en verificatie van inloggegevens, lang voordat de daadwerkelijke inbreuk plaatsvindt. Aanvallers gebruiken hiervoor steeds vaker legitieme cloudinfrastructuur om onder de radar te blijven.
"Aanvallen ruilen kwantiteit in voor kwaliteit", zegt Deepen Desai, Chief Security Officer bij Zscaler. "Nu 95 procent van de phishing in versleuteld verkeer verstopt zit, kunnen organisaties het zich niet langer veroorloven om hun TLS-verkeer ongecontroleerd te laten. Een Zero Trust-architectuur, die de aanvalsketen van ontdekking tot data-exfiltratie doorbreekt, is de enige manier om deze gerichte AI-dreigingen effectief te stoppen."
Meer over phishing
Over Witold Kepinski
