Cybercriminelen zetten AI in voor gerichte cyberaanvallen

Dit blijkt uit het ThreatLabz 2026 Phishing and Initial Access Report van Zscaler blijkt dat cybercriminelen steeds vaker gebruikmaken van AI-gestuurde methoden om gerichte en geavanceerde aanvallen uit te voeren. Zo identificeerde ThreatLabz 413.524 door AI gegenereerde phishingwebsites, wat aantoont hoe snel aanvallers hoogwaardige campagnen kunnen opschalen.

Steeds verfijndere technieken

Het aantal phishingaanvallen is met 20% gedaald ten opzichte van vorig jaar, doordat aanvallers zich richten op verfijndere technieken. Zo steeg het aantal gerichte aanvallen op de dienstensector met 65,5%, omdat aanvallers misbruik maken van vertrouwensgebaseerde processen zoals facturering en contractverlengingen. Daarnaast is 95,2% van de phishingpogingen verborgen in versleuteld verkeer, waardoor traditionele beveiligingssystemen zonder diepgaande TLS-inspectie worden omzeild.

Ook de inzet van ‘text-to-site’-aanvallen neemt toe: met AI gegenereerde phishingwebsites worden binnen minuten opgebouwd, waar dit voorheen dagen werk was. Daarnaast worden geavanceerde tools zoals ‘BlackForce’ ingezet om actieve sessies te kapen en multifactorauthenticatie (MFA) in realtime te omzeilen.

Uit telemetriegegevens blijkt dat er in zes maanden tijd 89,9 miljoen vijandige interacties zijn geregistreerd, afkomstig van 1,37 miljoen unieke IP-adressen. Dit wijst op grootschalige verkenning en validatie van inloggegevens voordat een inbreuk plaatsvindt.

Centrale rol weggelegd voor AI

AI speelt een centrale rol in de huidige generatie cyberaanvallen. ThreatLabz trof 413.524 door AI gegenereerde websites aan, waarvan bijna 10% expliciet kwaadaardig was. Tools zoals Manus AI, Blackbox AI en Lovable AI maken het mogelijk om binnen minuten gepolijste, merkconforme phishingportalen te creëren. Deze methoden zijn met name effectief in sectoren waar vertrouwen centraal staat, zoals de dienstensector, waar het aantal aanvallen met 65,5% steeg.

Trends

Uit het onderzoek komen verschillende opvallende trends naar voren. De Verenigde Staten blijven een belangrijk doelwit voor phishing-e-mails, terwijl Brazilië een opmerkelijke stijging van 2522% ziet in het hosten van phishingwebsites, waardoor het land nu tot de top vijf van wereldwijde bronnen behoort. De maakindustrie en de overheid blijven de meest getroffene sectoren, met een stijging van 50% in aanvallen op overheidsinstanties.

Microsoft en Google zijn de meest geïmiteerde merken in phishingaanvallen, wat wijst op een focus op het compromitteren van bedrijfsidentiteitssystemen. Daarnaast verloopt 87% van de kwaadwillige activiteiten via HTTPS, wat versleuteling tot standaardmaatstaf maakt voor cybercriminelen.

Verkenning en misleiding

Telemetrie van Zscaler toont aan dat aanvallers agressief samenwerkings- en identiteitsplatformen scannen om zwakke punten te ontdekken. Zo werden bijna 90 miljoen vijandige interacties geregistreerd, afkomstig van 1,37 miljoen unieke IP-adressen. Aanvallers maken hierbij gebruik van legitieme cloudinfrastructuur, met meer dan 121.000 unieke IP-adressen in de public cloud die worden ingezet voor verkenning.

"We zien een strategische herijking in de manier waarop cybercriminelen de eerste toegang benaderen", aldus Deepen Desai, Chief Security Officer van Zscaler. "De afname van het ruwe phishingvolume is geen teken van terugtrekking; het is een teken van evolutie. Aanvallers ruilen kwantiteit in voor kwaliteit en gebruiken GenAI om traditionele 'signalen' zoals slechte grammatica en generieke lokmiddelen te elimineren. Nu 95% van de phishing in versleuteld verkeer verstopt zit, kunnen organisaties het zich niet langer veroorloven om hun TLS-verkeer ongecontroleerd te laten. Een Zero Trust-architectuur is de enige manier om de aanvalsketen te doorbreken, van ontdekking tot data-exfiltratie."

Aanbevelingen voor organisaties

Om de impact van AI-gebaseerde phishingaanvallen te beperken, adviseert Zscaler organisaties om in te zetten op een Zero Trust-architectuur. Dit omvat het minimaliseren van het aanvalsoppervlak door applicaties te verbergen achter een cloudgeleverde proxy, het inzetten van misleidingstechnologie om verkenningspogingen vroegtijdig te detecteren, en het blokkeren van AI-gestuurde phishingaanvallen met diepgaande TLS/SSL-inspectie. Daarnaast is het belangrijk om laterale bewegingen te stoppen door gebruikers rechtstreeks met applicaties te verbinden en Zero Trust-toegangscontroles af te dwingen.

Het volledige ThreatLabz 2026 Phishing and Initial Access Report is hier beschikbaar. Het onderzoek is gebaseerd op de analyse van meer dan 500 biljoen dagelijkse signalen uit de Zscaler Zero Trust Exchange, waarbij dagelijks meer dan 9 miljard dreigingen werden geblokkeerd. De gegevens zijn verzameld tussen januari en december 2025, aangevuld met misleidingstelemetrie uit de periode oktober 2025 tot maart 2026.