Interne e-mails populairst bij phishers

Onderzoek van KnowBe4 toont aan dat HR- en IT-gerelateerde e-mails goed zijn voor 60% van de aangeklikte phishingpogingen

Uit nieuw onderzoek van KnowBe4 blijkt dat phishingaanvallen steeds vaker vermomd zijn als interne communicatie, vooral vanuit HR of IT. In ruim 60% van de gevallen trapten medewerkers in e-mails die intern leken te zijn. Dat blijkt uit het Q1 2025 KnowBe4 Phishing Report. De gegevens in dit rapport zijn verzameld via het KnowBe4 HRM+ platform - een alles-in-één oplossing die organisaties helpt om menselijke risico’s te beheren met AI-gestuurde training, e-mailbeveiliging en real-time coaching - tussen 1 januari en 31 maart 2025.

Het rapport maakt duidelijk dat phishingmails die zich voordoen als berichten van interne afdelingen, zoals HR of IT, het vaakst succesvol zijn. Maar liefst 60,7% van de aangeklikte simulaties verwees naar een intern team en 49,7% specifiek naar HR. Ondanks dat cybercriminelen hun technieken voortdurend aanpassen, blijft phishing via e-mail een van de populairste methodes om aanvallen uit te voeren. Door in te spelen op emoties en actuele thema’s slagen aanvallers erin om e-mails geloofwaardig te laten lijken en ontvangers over te halen op links te klikken of bijlagen te openen.

Urgentie

Een opvallende uitkomst is dat een ogenschijnlijk onschuldige onderwerpregel als ‘Typfout in je bericht?’ het vaakst werd aangeklikt (12,3%), gevolgd door onderwerpen als ‘IT: Internetrapport’ (11%) en HR-gerelateerde meldingen zoals ‘Beoordeling van je prestaties’ of ‘Declaratieverzoek ontvangen’ (beide ruim 10%). Deze onderwerpen wekken de indruk van urgentie of persoonlijke relevantie, wat het klikgedrag sterk beïnvloedt.

Tot de meest effectieve onderwerpen in de simulaties behoorden onder andere “Zoom Clips” van leidinggevenden, HR-trainingsrapporten en waarschuwingen over mailservers. Deze onderwerpen komen ook terug in de top 10 van daadwerkelijk gemelde phishingaanvallen, zoals een zogenaamd Zoom-bericht van een manager, een memo over ongebruikt verlof of een melding dat een Uber-account wordt verwijderd.

Phishing-links en QR-codes

Phishing-links blijven een grote dreiging vormen. Uit de analyse blijkt dat mensen vooral klikken op links die ogenschijnlijk van interne bronnen komen of van bekende merken. In 68,6% van de gevallen maakten de aanvallers gebruik van zogenaamde domain spoofing - cyberfraude waarbij een aanvaller een vertrouwd domein namaakt om gebruikers te misleiden. Vooral merkpagina’s van Microsoft, LinkedIn en Google werden vaak misbruikt, samen met die van de organisatie zelf en identiteitsplatform Okta. Deze neplandingspagina’s zijn bedoeld om inloggegevens of andere gevoelige informatie te stelen.

Daarnaast blijkt uit het rapport dat phishing via QR-codes nog steeds werkt. De drie meest gescande QR-code-simulaties hadden betrekking op: een nieuw HR-beleid rond drugs en alcohol (14,7%), een DocuSign-document om te ondertekenen (13,7%) en een felicitatiebericht van Workday (12,7%). Bij campagnes met bijlagen openden ontvangers het vaakst PDF’s (53%), gevolgd door HTML-bestanden (28,5%) en Word-documenten (18,5%).

“Cybercriminelen weten maar al te goed dat medewerkers gewend zijn snel te reageren op berichten die afkomstig lijken van HR of IT,” zegt Martin Kraemer, security awareness evangelist bij KnowBe4. “Ze maken bovendien slim gebruik van merken als Microsoft, LinkedIn en Google - platforms die medewerkers dagelijks gebruiken. De geraffineerde, psychologische aanpak van deze aanvallen benadrukt hoe belangrijk het is om menselijk risico centraal te stellen in de cyberbeveiligingsstrategie. Organisaties moeten inzetten op een sterke beveiligingscultuur, waarin medewerkers getraind worden om verdachte communicatie altijd te controleren - ook als die van een leidinggevende of interne afdeling lijkt te komen.”

Bekijk hier de infographic bij het Q1 2025 KnowBe4 Phishing Report.