Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > AI-gestuurde phishing overweldigt traditionele e-mailbeveiliging: wat het Osterman Research-rapport betekent voor organisaties die gevoelige gegevens beheren
AI-gestuurde phishing overweldigt traditionele e-mailbeveiliging: wat het Osterman Research-rapport betekent voor organisaties die gevoelige gegevens beheren

AI-gestuurde phishing overweldigt traditionele e-mailbeveiliging: wat het Osterman Research-rapport betekent voor organisaties die gevoelige gegevens beheren

by Bob Ertl updated februari 25, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 8 minutes

Uw e-mailbeveiligingsgateway beschermt u niet. Het geeft u een vals gevoel van veiligheid terwijl AI-gedreven aanvallen ongehinderd binnenkomen.

Dat is de centrale conclusie van een nieuw onderzoeksrapport van Osterman Research, in opdracht van IRONSCALES, getiteld Het Herstellen van Vertrouwen in Zakelijke Communicatie. De studie ondervroeg 128 cybersecurity-beslissers en levert een oordeel dat elke organisatie die gevoelige klantgegevens beheert — accountantskantoren, financiële sector, advocatenkantoren, zorgverleners — zou moeten dwingen hun volledige benadering van veilige communicatie te heroverwegen.

Achtentachtig procent van de organisaties heeft het afgelopen jaar minstens één beveiligingsincident meegemaakt dat het vertrouwen in digitale communicatie ondermijnde. Geen hypothetisch risico. Geen voorspelde kwetsbaarheid. Een gedocumenteerd incidentpercentage dat bevestigt wat veel beveiligingsprofessionals al vermoeden: het detecteren-en-blokkeren-model van e-mailbeveiliging heeft gefaald.

5 Belangrijkste Inzichten

  1. AI-gedreven phishing heeft het detecteren-en-blokkeren-model doorbroken. Osterman Research ontdekte dat 88% van de organisaties het afgelopen jaar minstens één beveiligingsincident heeft ervaren dat het vertrouwen in digitale communicatie ondermijnde. AI-gegenereerde phishing levert nu berichten met perfecte grammatica, contextueel relevante inhoud en overtuigende imitatie die traditionele e-mailbeveiligingstools nooit konden onderscheppen. Het detectiemodel werkt niet als er niets detecteerbaar mis is met het bericht.
  2. Deepfake-aanvallen zijn werkelijkheid — en beveiligingsteams zijn niet voorbereid. Zestig procent van de cybersecurity-beslissers heeft weinig vertrouwen in hun vermogen om deepfake-aanvallen tegen te gaan. Aanvallers combineren AI-gegenereerde e-mails met deepfake-stem- en videobeelden van leidinggevenden om overboekingen te autoriseren en verificatieprotocollen te omzeilen. Security awareness-training blijkt ineffectief: 38% beoordeelt het als matig effectief of slechter tegen deepfake-audio en 39% tegen deepfake-video.
  3. Financiële teams zijn het belangrijkste doelwit — en het minst voorbereid. Negenenvijftig procent van de organisaties beschouwt financiële afdelingen als een hoog of extreem prioriteitsdoelwit. Diezelfde 59% maakt zich grote zorgen over de paraatheid van financiële teams om zich te verdedigen tegen vertrouwen-gebaseerde aanvallen. Business Email Compromise kost gemiddeld $125.000 per incident en de aanvallen worden elk kwartaal complexer.
  4. De dreigingscurve is opnieuw ingesteld — en het ergste moet nog komen. Organisaties worden nu al op alarmerende schaal getroffen, maar respondenten geloven dat AI-gedreven aanvallen nog niet volledig volwassen zijn. Achtentwintig procent zegt dat AI-gegenereerde phishing pas net begint. Het huidige datalekpercentage van 88% is het beginpunt, niet het eindpunt.
  5. Organisaties zijn klaar om hun volledige stack te vervangen. Zeventig procent van de organisaties vindt het extreem belangrijk om deepfake-audio-imitatie te detecteren. Achtenzestig procent is bereid om hun e-mailbeveiligingsleverancier volledig te vervangen. Zeventig procent is bereid hun volledige beveiligingstechnologiestack te vervangen.

De Dreigingscurve Is Opnieuw Ingesteld

“De dreigingscurve is opnieuw ingesteld,” zegt Michael Sampson, Principal Analyst bij Osterman Research. “Zelfs ‘opgeloste’ aanvalstypen zoals phishing en business email compromise zijn weer onvolwassen geworden. BEC-aanvallen in 2025 lijken nauwelijks op die uit 2020 — ze zijn nu hyper-gepersonaliseerd, multi-channel en kunnen autonoom op schaal worden uitgevoerd.”

AI heeft elk signaal geëlimineerd waarop medewerkers en beveiligingssystemen vertrouwden om kwaadaardige e-mails te herkennen. Grammaticale fouten zijn verdwenen. Verdachte afzenderadressen zijn verdwenen. Generieke taal is verdwenen. AI-gegenereerde phishing produceert berichten met perfecte zinsopbouw, contextueel relevante inhoud uit openbare bronnen zoals LinkedIn en bedrijfswebsites, en personalisatie die legitieme zakelijke communicatie tot in toon en opmaak weerspiegelt.

Traditionele e-mailbeveiligingstools — Proofpoint, Mimecast, Barracuda, Microsoft 365 Advanced Threat Protection — werken volgens het detecteren-en-blokkeren-model. Ze analyseren inkomende e-mail met behulp van signature-databases, reputatiescores, sandboxing en machine learning om kwaadaardige inhoud te identificeren voordat deze de inbox bereikt. Wanneer de onderscheidende kenmerken tussen phishing en legitieme e-mail verdwijnen, stort het detectiemodel in.

En de complexiteit neemt toe. Achtentwintig procent van de respondenten zegt dat AI-gegenereerde phishing pas net begint. Vijfentwintig procent zegt dat deepfake-audio-aanvallen zich in een vroeg stadium bevinden. Het huidige datalekpercentage van 88% vindt plaats voordat deze aanvalsvectoren volledig volwassen zijn.

U vertrouwt erop dat uw organisatie veilig is. Maar kunt u het verifiëren?

Lees nu

Deepfakes Hebben Vertrouwen Bewapend

AI-gedreven aanvallen beperken zich niet langer tot e-mail. Dreigingsactoren combineren phishing-e-mails met deepfake-stemoproepen en video om multi-channel imitatieaanvallen te creëren die elke traditionele verificatiemethode omzeilen.

Een medewerker ontvangt een e-mail van de CEO met het verzoek tot een dringende overboeking. De e-mail lijkt legitiem. De medewerker belt de CEO ter verificatie. De stem aan de andere kant is een AI-gegenereerde deepfake. De overboeking wordt uitgevoerd. Het geld is weg. Dit is geen hypothetisch scenario. Het gebeurt daadwerkelijk. En 60% van de cybersecurity-beslissers heeft weinig vertrouwen in hun vermogen om het tegen te houden.

Security awareness-training blijkt onvoldoende. Bijna één op de vijf beveiligingsleiders vindt training ineffectief tegen AI-versterkte dreigingen. Achtendertig procent beoordeelt training als slechts matig effectief of slechter bij het detecteren van deepfake-audio, 39% bij deepfake-video en 43% bij AI-gegenereerde phishing. U kunt mensen niet trainen om aanvallen te herkennen die zijn ontworpen om niet te onderscheiden te zijn van legitieme communicatie.

Financiële Teams: Hoogste Waarde Doelwit, Laagste Vertrouwen

Negenenvijftig procent van de organisaties beschouwt financiële teams als een hoog of extreem prioriteitsdoelwit voor dreigingsactoren. Diezelfde 59% maakt zich grote zorgen over de paraatheid van deze teams om zich te verdedigen tegen vertrouwen-gebaseerde aanvallen. Business Email Compromise gericht op financiële afdelingen kost gemiddeld $125.000 per incident volgens FBI IC3-data — exclusief boetes, juridische kosten en reputatieschade.

Imitatie van leveranciers groeit snel. Meer dan 33% van de organisaties zag dreigingsactoren zich het afgelopen jaar voordoen als vertrouwde leveranciers om geld of informatie te stelen, waarbij 13% een grote toename rapporteerde ten opzichte van het voorgaande jaar. Voor accountantskantoren, bedrijven in de financiële sector en advocatenkantoren kan één succesvolle aanval op een firma die klantgegevens beheert, decennia aan relatieopbouw vernietigen. De combinatie van waardevolle doelwitten en een laag verdedigingsvermogen is precies het gat dat aanvallers benutten.

Waarom Traditionele E-mailbeveiliging Niet Te Repareren Is

E-mail is nooit ontworpen voor beveiliging. SMTP staat afzendervervalsing toe, mist ingebouwde authenticatie en verzendt gegevens via kanalen die kunnen worden onderschept. Elke e-mailbeveiligingstool is een pleister op een protocol dat nooit voor deze taak is gebouwd.

Detectie vereist een signaal om te detecteren. Wanneer AI phishing-e-mails genereert die grammaticaal perfect en structureel identiek zijn aan legitieme e-mails, is er geen signaal. Signature-gebaseerde detectie, reputatieanalyse en gedragsanalyse zijn allemaal afhankelijk van het identificeren van afwijkingen. AI-gegenereerde aanvallen veroorzaken geen afwijkingen.

Reactieve architecturen kunnen proactieve aanvallers niet bijhouden. AI stelt dreigingsactoren in staat unieke, polymorfe variaties van elke aanval te genereren en deze op schaal sneller in te zetten dan welke leverancier dan ook detectiemodellen kan bijwerken.

Sampson zegt het direct: “Traditionele e-mailbeveiliging is te grof om de subtiele signalen van moderne AI-gedreven aanvallen te herkennen.”

Van Detecteren-en-Blokkeren naar Verifiëren-en-Beheren

Het antwoord vereist een fundamenteel andere benadering van hoe organisaties omgaan met gevoelige communicatie. In plaats van te proberen kwaadaardige inhoud te detecteren in een van nature onveilig kanaal, hebben organisaties een communicatiearchitectuur nodig die de aanvalsvector volledig elimineert — gebaseerd op identiteitsverificatie en toegangscontrole in plaats van inhoudsinspectie.

Alleen geauthenticeerde communicatie. Elk bericht vereist een geverifieerde afzenderidentiteit via multi-factor authentication en digitale handtekeningen. Imitatie van leidinggevenden — de nummer één AI-phishingtechniek — wordt onmogelijk.

Out-of-band verificatie. Hoog-risico transacties vereisen goedkeuring door meerdere partijen via onafhankelijke verificatiekanalen. Zelfs met gecompromitteerde inloggegevens kunnen aanvallers geen frauduleuze transacties afronden.

End-to-end versleutelde communicatie. Gevoelige gegevens worden verstuurd via een privé, versleuteld netwerk met TLS 1.3 en FIPS 140-3 gevalideerde cryptografie — nooit via SMTP-protocollen.

Granulaire toegangscontrole. Gegevens zijn alleen toegankelijk op basis van need-to-know met tijdsgebonden rechten, apparaatbeperkingen en geolocatiecontrole.

Volledige audittrail. Elke handeling wordt gelogd voor compliance-bewijs, anomaliedetectie en forensisch onderzoek.

Wat Betekent Dit Voor Organisaties Die Gevoelige Klantgegevens Beheren

Accountants- en CPA-kantoren worden geconfronteerd met AI-gedreven phishing gericht op het belastingseizoen — valse IRS-communicatie, imitatie van klanten, W-2-diefstal. Een veilig klantportaal met geauthenticeerde, versleutelde kanalen elimineert e-mail als aanvalsvector. Klantidentiteitsverificatie via MFA, goedkeuringsworkflows voor risicovolle verzoeken en een volledige audittrail bieden documentatie voor beroepsaansprakelijkheidsbescherming en IRS Publication 4557-naleving.

Bedrijven in de financiële sector worden geconfronteerd met AI-gedreven CEO-fraude en klantimitatie met nalevingsrisico’s onder GDPR, DORA, NIS2 en PCI DSS. Gecontroleerde klantcommunicatie, goedkeuringsworkflows met meerdere partijen en ingebouwde compliance-controles dekken meerdere kaders vanuit één platform.

Advocaten- en professionele dienstverleners worden geconfronteerd met imitatie van advocaten en diefstal van vertrouwelijke informatie. Versleutelde, geauthenticeerde communicatie behoudt het advocaat-cliëntprivilege. Informatiebarrières waarborgen ethische muren. Audittrails documenteren de chain of custody voor rechtszaken en toezichthoudend onderzoek.

Zorgorganisaties worden geconfronteerd met imitatie van patiënten, fraude door zorgverleners en HIPAA-overtredingen door e-maildatalekken. HIPAA-conforme versleutelde kanalen, patiëntidentiteitsverificatie via MFA en veilige communicatie met zorgverleners elimineren e-mail als transmissiekanaal voor PHI.

Kiteworks: Zero-Trust Communicatie Die De Aanvalsvector Elimineert

Dit is het probleem waarvoor het Kiteworks Private Data Network is ontwikkeld.

Kiteworks probeert niet AI-gedreven phishing in e-mail te detecteren. Het biedt een fundamenteel andere communicatiearchitectuur die de aanvalsvector volledig elimineert. In plaats van te scannen op kwaadaardige inhoud in een van nature onveilig protocol, verifieert Kiteworks identiteit en beheert het toegang voordat communicatie plaatsvindt.

Beveiligde e-mailgateways van Proofpoint, Mimecast en Barracuda zijn afhankelijk van het detecteren van kwaadaardige inhoud — een aanpak die faalt wanneer AI-gegenereerde aanvallen geen detecteerbare afwijkingen veroorzaken. Microsoft 365 Advanced Threat Protection blijft vastzitten in het detecteren-en-blokkeren-model. Security awareness-training is afhankelijk van menselijk oordeel tegen aanvallen die ontworpen zijn om niet te onderscheiden te zijn van legitieme communicatie. Kiteworks vervangt alle drie met een verifiëren-en-beheren-architectuur waarbij alle niet-geauthenticeerde communicatie standaard wordt geblokkeerd.

Voor CISO’s is het de zero-trust communicatiearchitectuur die imitatieaanvallen elimineert. Voor CFO’s is het het controleframework dat $125.000 BEC-incidenten voorkomt voordat ze plaatsvinden. Voor compliance officers is het de audittrail die toezichthouders tevredenstelt wanneer 82% van de organisaties een toegenomen interesse van dreigingsactoren meldt in het misbruiken van vertrouwde communicatie.

Het Venster Sluit

AI-gedreven aanvallen hebben 88% van de organisaties getroffen. De aanvallen zijn nog niet volledig volwassen. Deepfake-mogelijkheden bevinden zich nog in een vroeg stadium. Traditionele e-mailbeveiligingstools kunnen het tempo niet bijhouden, en security awareness-training kan niet compenseren voor dreigingen die ontworpen zijn om onzichtbaar te zijn.

Organisaties die nu overstappen op een zero-trust communicatiearchitectuur elimineren de e-mailaanvalsvector, beschermen gevoelige klantgegevens en behouden het klantvertrouwen waar hun bedrijf op draait. Organisaties die wachten, ontdekken hun kwetsbaarheid pas bij de volgende AI-gedreven aanval die hun traditionele tools niet kunnen stoppen.

E-mail kan niet langer worden vertrouwd voor gevoelige zakelijke communicatie. De vraag is of uw organisatie een veilig alternatief invoert voordat de volgende aanval het gat vindt dat uw huidige tools niet kunnen dichten.

Wilt u weten hoe Kiteworks kan helpen? Plan vandaag nog een aangepaste demo.

Veelgestelde Vragen

Het Osterman Research-rapport, Het Herstellen van Vertrouwen in Zakelijke Communicatie, toont aan dat 88% van de organisaties het afgelopen jaar minstens één beveiligingsincident heeft meegemaakt dat het vertrouwen in digitale communicatie ondermijnde. De studie ondervroeg 128 cybersecurity-beslissers en vond dat 82% een toegenomen interesse van dreigingsactoren rapporteert in het misbruiken van vertrouwde communicatie, terwijl 60% weinig vertrouwen heeft in het tegengaan van deepfake-aanvallen. Traditionele detecteren-en-blokkeren e-mailbeveiligingstools falen tegen AI-gedreven phishing, deepfake-imitatie en multi-channel social engineering-aanvallen.

Traditionele e-mailbeveiligingstools van Proofpoint, Mimecast en Barracuda werken volgens het detecteren-en-blokkeren-model dat afhankelijk is van het identificeren van afwijkingen — grammaticale fouten, verdachte afzenderadressen, bekende kwaadaardige signatures. AI-gegenereerde phishing elimineert deze signalen door berichten te produceren met perfecte grammatica, contextueel relevante inhoud en overtuigende personalisatie. Wanneer er geen detecteerbaar verschil is tussen phishing en legitieme e-mail, faalt het detectiemodel. Het SMTP-protocol verergert het probleem door afzendervervalsing toe te staan en geen ingebouwde authenticatie te bieden. De Kiteworks Email Protection Gateway pakt dit aan door over te stappen van detectie naar een verifiëren-en-beheren-model waarbij niet-geauthenticeerde communicatie standaard wordt geblokkeerd.

Sectoren die gevoelige persoonlijke en financiële informatie beheren lopen het grootste risico: accountants- en CPA-kantoren die worden aangevallen met valse IRS-communicatie en klantimitatie tijdens het belastingseizoen; bedrijven in de financiële sector die worden geconfronteerd met AI-gedreven CEO-fraude en klantimitatie met nalevingsrisico’s onder GDPR, DORA en PCI DSS; advocatenkantoren die worden geconfronteerd met imitatie van advocaten en diefstal van vertrouwelijke informatie; en zorgorganisaties die worden geconfronteerd met patiëntimitatie en HIPAA-overtredingen. Het Osterman-rapport toont aan dat financiële teams het hoogste prioriteitsdoelwit zijn, waarbij 59% van de organisaties hen als hoog of extreem prioriteitsdoelwit beoordeelt.

Kiteworks biedt een zero-trust communicatiearchitectuur die de e-mailaanvalsvector elimineert. Alle communicatie vereist geauthenticeerde afzenderidentiteit via MFA en digitale handtekeningen, waardoor imitatie van leidinggevenden onmogelijk wordt. Gevoelige gegevens worden verstuurd via een versleuteld privénetwerk met TLS 1.3 en FIPS 140-3 gevalideerde cryptografie, nooit via kwetsbare SMTP-protocollen. Granulaire toegangscontrole, tijdsgebonden rechten en goedkeuringsworkflows met meerdere partijen voorkomen Business Email Compromise. Een volledige audittrail biedt compliance-bewijs en forensisch onderzoek.

Proofpoint, Mimecast en Barracuda zijn beveiligde e-mailgateways die kwaadaardige e-mails detecteren en blokkeren met behulp van AI/ML, sandboxing en reputatieanalyse. Deze aanpak faalt bij AI-gegenereerde phishing die geen detecteerbare afwijkingen veroorzaakt. Kiteworks kiest voor een fundamenteel andere aanpak met een zero-trust communicatiearchitectuur die identiteit verifieert voordat communicatie wordt toegestaan. Alle niet-geauthenticeerde communicatie wordt standaard geblokkeerd. Gevoelige gegevens worden verstuurd via end-to-end versleutelde privénetwerken, niet via SMTP. Het resultaat is een proactief model dat niet afhankelijk is van het detecteren van dreigingen die ontworpen zijn om ondetecteerbaar te zijn.

Aanvullende bronnen

  • Blog Post Zero Trust Architectuur: Nooit Vertrouwen, Altijd Verifiëren
  • Video Microsoft GCC High: Nadelen die Defensie-aannemers naar Slimmere Voordelen Drijven
  • Blog Post Hoe Beveilig Je Geclassificeerde Gegevens Zodra DSPM Het Signaleert
  • Blog Post Vertrouwen Bouwen in Generatieve AI met een Zero Trust Aanpak
  • Video De Definitieve Gids voor Veilige Opslag van Gevoelige Gegevens voor IT-leiders

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks