Highlights:
- Kwaliteit boven kwantiteit: Het aantal phishingaanvallen daalde voor het tweede jaar op rij met 20% omdat aanvallers zich richten op geavanceerde, door AI versnelde lokmethoden.
- Sterke groei in de dienstensector:Het aantal gerichte aanvallen op de dienstensector steeg met 65,5%, doordat aanvallers misbruik maken van op vertrouwen gebaseerde processen zoals facturering en verlengingen.
- De blinde vlek in encryptie:95,2% van de phishingpogingen is nu verborgen in versleuteld verkeer, waardoor verouderde beveiligingssystemen zonder diepgaande TLS-inspectie worden omzeild.
- ‘Text-to-site’-aanvallen: ThreatLabz identificeerde meer dan 413.000 door AI gegenereerde phishingaanvallen, wat aantoont hoe gemakkelijk aanvallers nu geavanceerde, malafide websites kunnen opzetten.
- MFA onder druk: Geavanceerde kits zoals ‘BlackForce’ worden ingezet om actieve sessies te kapen en multifactorauthenticatie in real-time te omzeilen.
- Verkenning blootgelegd:Telemetrie registreerde 89,9 miljoen vijandige interacties van 1,37 miljoen unieke IP-adressen van aanvallers in zes maanden, wat wijst op grootschalige scanning en verificatie van inloggegevens vóór de inbreuk.
Amsterdam, 16 juni 2026 - Er is een fundamentele verschuiving gaande in cybercriminaliteit: hoewel het totale phishingvolume voor het tweede opeenvolgende jaar is gedaald (20% lager dan een jaar eerder), zijn de effectiviteit en de verfijning van aanvallen sterk toegenomen. Dit blijkt uit het
ThreatLabz 2026 Phishing and Initial Access Report van
Zscaler. Dit onderzoek is gebaseerd op de telemetrie van ‘s werelds grootste inline security cloud.
Cybercriminelen maken steeds vaker gebruik van AI-gestuurde ‘text-to-site’-tools en kits die sessies in real-time te kapen om multifactorauthenticatie (MFA) te omzeilen. Cruciaal is dat deze geavanceerde campagnes sterk gecamoufleerd zijn; 95,2% van de phishingpogingen zit nu verborgen in versleuteld verkeer om verouderde beveiligingssystemen te omzeilen. Bovendien onthult misleidingstelemetrie, die bijna 90 miljoen vijandige interacties vastlegt, dat aanvallers zeer actief bedrijfsidentiteiten en samenwerkingsplatformen scannen en onderzoeken, lang voordat de eerste inbreuk plaatsvindt.
"We zien een strategische herijking in de manier waarop cybercriminelen de eerste toegang benaderen", aldus Deepen Desai, Chief Security Officer van Zscaler. "De afname van het ruwe phishingvolume is geen teken van terugtrekking; het is een teken van evolutie. Aanvallers ruilen kwantiteit in voor kwaliteit en gebruiken GenAI om traditionele 'signalen' zoals slechte grammatica en generieke lokmiddelen te elimineren. Nu 95% van de phishing in versleuteld verkeer verstopt zit, kunnen organisaties het zich niet langer veroorloven om hun TLS-verkeer ongecontroleerd te laten. Een Zero Trust-architectuur is de enige manier om de aanvalsketen te doorbreken, van ontdekking tot data-exfiltratie."
Hoe tegenstanders GenAI gebruiken voor een hoogwaardige initiële inbraak
Het rapport benadrukt hoe AI de belangrijkste motor is geworden voor moderne inbraakpogingen. ThreatLabz identificeerde 413.524 door AI gegenereerde site-instances, waarvan bijna 10% werd gemarkeerd als expliciet kwaadaardig. Tools zoals Manus AI, Blackbox AI en Lovable AI worden ingezet om binnen enkele minuten gepolijste, merkconforme phishingportalen te creëren, taken die voorheen dagen handmatige ontwikkeling vereisten.
Deze door AI gegenereerde lokmethoden zijn bijzonder effectief in het nabootsen van vertrouwde workflows. De dienstensector ondervindt de grootste impact van deze verschuiving, met een jaarlijkse stijging van 65,5% in het aantal aanvallen, doordat aanvallers misbruik maakten van op vertrouwen gebaseerde interacties zoals facturering, onboarding en het verlengen van supportcontracten.
Aanvullende bevindingen uit het onderzoek zijn:
- Het wereldwijde landschap: De VS blijven een belangrijk doelwit voor phishing-e-mailaanvallen; Brazilië ziet een stijging van 2522% in het hosten van phishing-websites en werd daarmee een van de vijf belangrijkste bronnen wereldwijd.
- Sectorverdeling: De maakindustrie en de overheid blijven de belangrijkste doelwitten voor phishing-e-mails; het aantal aanvallen op de overheid stijgt met 50%, doordat aanvallers op zoek zijn naar waardevolle inlichtingen.
- Trends in het verzamelen van inloggegevens: Microsoft en Google zijn de meest geïmiteerde merken voor phishing-aanvallen, wat wijst op een voortdurende focus op het compromitteren van identiteitssystemen van bedrijven.
- Detectieontwijking: Versleuteling is nu de standaard voor cybercriminelen, waarbij 87% van de kwaadwillige activiteiten via HTTPS verloopt.
- Vijandige scanactiviteit: Aanvallers maken gebruik van legitieme cloudinfrastructuur voor verkenning, waarbij ze meer dan 121.000 unieke, in de public cloud gehoste IP-adressen gebruiken om omgevingen te onderzoeken.
Misleidingstechnologie onthult de intentie van aanvallers
Zscaler-telemetrie van wereldwijde decoys registreerde bijna 90 miljoen vijandige interacties via 1,37 miljoen unieke IP-adressen van aanvallers. Deze gegevens bevestigen dat cybercriminelen agressief samenwerkings- en identiteitsplatformen onderzoeken om zwakke punten te vinden en aannames over de effectiviteit van verdedigingsmechanismen te testen.
Beperk de impact van AI-gebaseerde phishingaanvallen
Om deze evoluerende dreigingen tegen te gaan, biedt het Zscaler Zero Trust Exchange-platform een AI-beveiligingsplatform gebouwd op Zero Trust dat:
- De ontdekking van het aanvalsoppervlak minimaliseert:De blootstelling vermindert door applicaties te verbergen achter een in de cloud geleverde proxy, terwijl gebruik wordt gemaakt van misleidingstechnologie om verkenningspogingen via scannen, onderzoeken en verificatie van inloggegevens vroegtijdig aan het licht te brengen.
- Helpt initiële inbreuken te voorkomen: Blokkeert AI-gestuurde phishing en sessiegebaseerde aanvallen met AI-gestuurde inline-inspectie, inclusief volledige TLS/SSL-inspectie, om dreigingen te onthullen die verborgen zitten in versleuteld verkeer.
- Stopt laterale beweging: Verbindt gebruikers rechtstreeks met applicaties en dwingt Zero Trust-toegangscontroles af om te voorkomen dat aanvallers zich vanuit één toegangspunt naar bredere omgevingen verplaatsen.
- Voorkomt gegevensverlies:Vermindert de impact van een inbreuk met AI-gestuurde gegevensbescherming om gevoelige gegevens in beweging te identificeren en ongeautoriseerd delen of exfiltratie te voorkomen.
Download hier het volledige Zscaler ThreatLabz 2026 Phishing and Initial Access Report voor meer informatie over de bevindingen en best practices voor het beveiligen van uw organisatie.
Methodologie
ThreatLabz analyseerde voor dit onderzoek meer dan 500 biljoen dagelijkse signalen van de Zscaler Zero Trust Exchange. Daarvan blokkeerde het bedrijf dagelijks meer dan 9 miljard dreigingen. Het rapport is gebaseerd op gegevens die zijn verzameld van januari tot en met december 2025, aangevuld met misleidingstelemetrie die is waargenomen tussen oktober 2025 en maart 2026.
Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. Het Zscaler Zero Trust Exchange platform beschermt duizenden klanten van cyberaanvallen en dataverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verdeeld over meer dan 150 datacenters wereldwijd is de op SASE-gebaseerde Zero Trust Exchange het grootste in-line cloud security-platform ter wereld.
Voor meer informatie
Whizpr
Martine Korthals / Winnie Silvertand
E-mail:
zscaler@whizpr.nl