Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > AI-phishinglokmiddelen heroveren in 2026 de toppositie voor initiële toegang
AI-phishinglokmiddelen heroveren in 2026 de toppositie voor initiële toegang

AI-phishinglokmiddelen heroveren in 2026 de toppositie voor initiële toegang

by Uri Kedem updated mei 12, 2026 Veilige e-mail
Reading Time: 9 minutes

Phishing heeft opnieuw de #1 positie als initiële toegangsmethode veroverd. De lokmails zijn geschreven door AI.

Vier kwartalen op rij was phishing van de troon gestoten. Het uitbuiten van publiek toegankelijke applicaties – aangejaagd door een golf van on-premises Microsoft SharePoint-compromitteringen – had de koppositie als dominante initiële toegangsvector overgenomen. Incident responders beschouwden de inbox niet langer als het primaire toegangspunt.

Belangrijkste inzichten

  1. Phishing staat weer bovenaan. In Q1 2026 was phishing verantwoordelijk voor meer dan een derde van de gevallen waarbij de initiële toegang werd vastgesteld – de eerste keer sinds Q2 2025 dat phishing deze categorie aanvoert, volgens nieuw onderzoek van Cisco Talos.
  2. Aanvallers gebruiken LLM’s om lokmails te industrialiseren. Door de staat gesteunde en criminele groepen zijn waargenomen die grote taalmodellen inzetten om phishingmails te schrijven, kwaadaardige scripts te genereren en zelfs DDoS-aanvallen te orkestreren. De ondergrens qua complexiteit is volledig weggevallen.
  3. Traditionele aannames over e-mailbeveiliging zijn achterhaald. Awareness-trainingen waren gericht op een wereld waarin phishingmails signalen afgaven – slechte grammatica, algemene aanhef, duidelijke rode vlaggen. Door AI geschreven lokmails hebben die signalen niet. Ze zijn gepersonaliseerd, cultureel afgestemd en grammaticaal perfect.
  4. Phishing is een data exchange-probleem, niet alleen een e-mailprobleem. Elke phishingmail is een ongeautoriseerde, niet-geauthenticeerde, niet-gecontroleerde inkomende data exchange. Als de organisatie niet kan bepalen welke afzenders medewerkers mogen bereiken, speelt de rest van de e-mailbeveiligingsstack verdediging op het verkeerde speelveld.
  5. De oplossing is een pre-approved sender-architectuur. Organisaties die inkomende e-mail beperken tot vooraf goedgekeurde partners, klanten en leveranciers – afgedwongen op het data exchange-niveau, niet de mailgateway – elimineren het aanvalsoppervlak waarop AI-gegenereerde lokmails vertrouwen.

Dat verhaal is zojuist gereset. Volgens nieuw onderzoek van Cisco Talos is phishing terug als de belangrijkste methode waarmee aanvallers organisaties binnendringen, goed voor meer dan een derde van de Q1 2026-incidenten waarbij de initiële toegang kon worden vastgesteld. De terugkeer is niet geleidelijk – het is een machtswisseling.

En dat gebeurt om een specifieke reden.

AI heeft het niet uitgevonden. Het heeft het geïndustrialiseerd.

Cisco Talos zag door de staat gesteunde en criminele groepen grote taalmodellen gebruiken om phishing-lokmails en kwaadaardige scripts te ontwikkelen. DDoS-as-a-service-aanbieders hebben AI-algoritmen omarmd om aanvallen te orkestreren. Het patroon is niet experimenteel. Het is operationeel.

Dit is belangrijk vanwege wat AI verandert aan de economie van phishing. De WEF Global Cybersecurity Outlook 2026 beschrijft hoe generatieve AI de drempels voor het uitvoeren van phishing verlaagt en tegelijkertijd de complexiteit en geloofwaardigheid verhoogt. Criminele actoren produceren realistische phishingmails, deepfake-audio en vervalste documenten die conventionele detectie en menselijke controle kunnen omzeilen.

Denk aan wat organisaties vroeger beschermde: het feit dat het schrijven van een overtuigende phishingmail op schaal taalvaardigheid, culturele kennis of veel tijd per doelwit vereiste. Elk van deze factoren was een natuurlijke rem. AI haalt ze allemaal weg. Eén operator kan nu tienduizend gepersonaliseerde lokmails genereren, elk afgestemd op de taal, branchecontext en schijnbare rol van de ontvanger – in de tijd die het vroeger kostte om er één te schrijven.

Het 2026 Thales Data Threat Report bevestigt dit: 59% van de organisaties heeft deepfake-aanvallen gezien en 97% meldt enige vorm van schade door AI-gegenereerde desinformatie, waaronder business email compromise en merkimitatie. Phishing en deepfake-varianten zijn nu standaardvaardigheden voor aanvallers, geen premiumdiensten meer.

Waarom awareness-training niet langer voldoende is

Security awareness-programma’s waren ontworpen rond het idee dat phishingmails signalen bevatten. De grammatica klopt niet. De aanhef is algemeen. De urgentie voelt gemaakt. Medewerkers trainen om deze signalen te herkennen verkleint het aanvalsoppervlak.

Dat trainingsmodel ging ervan uit dat de aanvaller slechter was in taalgebruik dan de gemiddelde medewerker. AI heeft die aanname doorbroken. Volgens WEF-onderzoek maken AI-ondersteunde vertaling en lokalisatie impersonaties cultureel authentieker en overtuigender, waardoor aanvallers doelgroepen kunnen bereiken die ze eerder niet effectief konden benaderen.

De praktische consequentie: een medewerker die een e-mail ontvangt die exact klinkt als die van hun leverancier, exact het juiste ordernummer noemt en afkomstig is van een domein dat visueel overeenkomt met het legitieme, heeft geen redelijke kans om de phishingmail te herkennen door goed te lezen. De signalen zijn verdwenen.

Awareness-training blijft waardevol – het beïnvloedt gedrag rondom het omgaan met inloggegevens, ongebruikelijke verzoeken en verificatie buiten de normale kanalen om. Maar het is niet langer voldoende als primaire maatregel. Organisaties die awareness als hun phishingverdediging beschouwen, voeren een strijd die eindigde toen het eerste commerciële LLM goed werd in zakelijk Engels schrijven.

De inbox is een data exchange-kanaal. Beheer het ook zo.

Hier is de belangrijke herdefiniëring. E-mail wordt al vier decennia gezien als communicatiekanaal. Vanuit dat perspectief bouwde de sector mailgateways, spamfilters en gebruikers­training als primaire phishingverdediging. Elk van deze gaat ervan uit dat e-mail in de kern draait om berichtbezorging die na aankomst gefilterd moet worden.

Een accuratere benadering: elke e-mail is een data exchange-gebeurtenis. Elke inkomende e-mail levert data aan de medewerker – soms legitiem, soms kwaadaardig. Elke uitgaande e-mail exporteert data uit de organisatie. De inbox is een tweerichtings data exchange-kanaal dat toevallig SMTP als transport gebruikt.

Wanneer e-mail wordt gezien als data exchange, verandert de beveiligingsarchitectuur. De vraag wordt niet “hoe filteren we slechte e-mails eruit?”, maar “wie mogen überhaupt data uitwisselen met onze medewerkers?”

Deze verschuiving is belangrijk omdat AI-gegenereerde phishing expliciet is ontworpen om filtergebaseerde verdediging te omzeilen. De IBM X-Force 2026 Threat Intelligence Index stelt vast dat AI de levenscyclus van de aanvaller versnelt en de tijd tussen het eerste phishingcontact en data-exfiltratie verkort. Filtergebaseerde verdediging is per definitie reactief. Ze moeten iets nieuws detecteren, en AI is erg goed in het produceren van originaliteit op grote schaal.

Pre-approved sender-architecturen – waarbij inkomende e-mail alleen wordt toegestaan van partners, klanten en leveranciers die de organisatie expliciet heeft goedgekeurd – elimineren het categorische probleem. Als de AI-gegenereerde lokmail afkomstig is van een afzender die niet op de goedgekeurde lijst staat, bereikt deze de medewerker niet. Het filter hoeft de phishingmail niet te detecteren. De phishingmail wordt simpelweg niet bezorgd.

Wat de data zegt over waar phishing toe leidt

De terugkeer van phishing naar de top van de initiële toegangslijst is belangrijk vanwege de volgende stap in de aanvalsketen. Volgens het CrowdStrike 2026 Global Threat Report is de gemiddelde eCrime breakout time – de tijd tussen initiële toegang en laterale beweging – nu 29 minuten. Adversary-in-the-middle-phishing tegen Microsoft 365 en Entra ID kan cookies en tokens stelen om multi-factor authentication te omzeilen en direct toegang te krijgen tot mail, SharePoint en andere datarijke diensten.

Met andere woorden: phishing is de voordeur tot cloud data estates, niet slechts een hinderlijke bezorgmethode voor malware. Het Verizon 2025 Data Breach Investigations Report analyseerde 12.195 bevestigde datalekken en signaleerde phishing, misbruik van inloggegevens en betrokkenheid van derden als dominante patronen – waarbij de betrokkenheid van derden jaar-op-jaar verdubbelde van 15% naar 30%.

Wanneer phishing succesvol is, bemachtigt de aanvaller doorgaans inloggegevens of sessietokens en gebruikt deze om toegang te krijgen tot de samenwerkings- en bestandsoverdrachtplatforms waar gereguleerde data zich bevindt. De WEF Global Cybersecurity Outlook 2026 meldt dat 62% van de respondenten phishing-, vishing- of smishing-aanvallen heeft ervaren in de afgelopen twaalf maanden, en 73% persoonlijk is getroffen door cyber-enabled fraude.

De conclusie is niet dat e-mailbeveiliging optioneel is. Het punt is dat e-mailbeveiliging op zichzelf het data exchange-kanaal dat phishing probeert te compromitteren, niet beschermt.

De Kiteworks-aanpak: Secure Data Exchange als phishing-mitigatie

Kiteworks benadert het phishingprobleem als een data exchange governance-vraagstuk in plaats van een filterprobleem. De architectuur sluit het aanvalsoppervlak waarop AI-gegenereerde lokmails vertrouwen.

Handhaving van pre-approved senders. Met Kiteworks ontvangen medewerkers alleen communicatie van afzenders die de organisatie vooraf heeft geautoriseerd – partners, klanten, leveranciers. AI-gegenereerde phishingmails van niet-geautoriseerde afzenders bereiken de inbox niet, omdat de architectuur ongecontroleerde inkomende communicatie niet toestaat. De aanvaller kan duizend perfecte lokmails genereren; geen enkele komt aan.

Geünificeerde beveiligde kanalen voor gevoelige data. Wanneer externe partijen gereguleerde data naar de organisatie moeten sturen – contracten, bestanden, formulieren – gebeurt dat via geauthenticeerde, versleutelde, beleidsmatig beheerde kanalen. De phishingmail die zegt “klik op deze link om je versleutelde document te bekijken” bestaat niet in een goed ingerichte omgeving, omdat legitieme gevoelige documenten via gecontroleerde data exchange binnenkomen, niet via een link in een e-mail.

Audittrails over elk kanaal. Elke inkomende en uitgaande communicatie wordt gelogd in een manipulatieresistente audittrail. Wanneer er toch een succesvolle phishingaanval plaatsvindt – want geen enkele verdediging is absoluut – kan de omvang van de data-exposure binnen minuten worden vastgesteld in plaats van weken. Toezichthouders, auditors en incident response-teams krijgen allemaal dezelfde bewijswaardige data.

Integratie met bestaande beveiligingsinfrastructuur. SIEM-integratie, DLP-beleidsafdwinging en afstemming met identity providers betekenen dat Kiteworks de bestaande beveiligingsstack niet vervangt – het sluit het gat dat filtergebaseerde verdediging niet kan dichten.

Dit is het architectuurpatroon dat AI-gegenereerde phishing economisch irrationeel maakt voor de aanvaller. Als de payload niet kan worden afgeleverd, maakt de complexiteit van de lokmail niet uit.

Wat organisaties nu moeten doen

Ten eerste, behandel de inbox als een beheerd data exchange-kanaal, niet alleen als een berichtbezorgingskanaal. Elke inkomende e-mail is een datainput. Elke uitgaande e-mail is een data-export. Governance-beleidsregels die gelden voor bestandsoverdracht, SFTP en API-level data exchange moeten ook voor e-mail gelden – omdat aanvallers hebben ontdekt dat e-mail het pad van de minste weerstand is.

Ten tweede, implementeer pre-approved sender-architecturen voor medewerkers met hoge waarde. Financiële teams, directie, HR en juridische afdelingen zijn de favoriete phishingdoelen van aanvallers. Deze groepen profiteren onevenredig veel van het beperken van inkomende e-mail tot geautoriseerde partijen. Het onderzoek van Cisco Talos laat zien dat phishing zijn dominante positie juist heeft herwonnen omdat AI de rem op de kwaliteit van lokmails heeft weggenomen.

Ten derde, verminder de afhankelijkheid van awareness-training als primaire maatregel. Zet het programma voort – het beïnvloedt nog steeds gedrag rondom hergebruik van inloggegevens en verificatie buiten de normale kanalen. Maar besef dat training ervan uitgaat dat medewerkers AI-gegenereerde lokmails kunnen onderscheiden van legitieme communicatie, en de WEF Global Cybersecurity Outlook 2026 toont aan dat deze aanname niet langer betrouwbaar is.

Ten vierde, handhaaf geauthenticeerde, versleutelde kanalen voor alle gevoelige data exchange met externe partijen. Als een leverancier een contract moet sturen, gebeurt dat via een secure data exchange-platform – niet als e-mailbijlage met een klik-om-te-downloaden-link. Dit elimineert het sjabloon dat phishingmails imiteren, waardoor AI-gegenereerde impersonatie minder effectief wordt.

Ten vijfde, investeer in bewijswaardige audittrails over elk data exchange-kanaal. Wanneer phishing toch slaagt, is het vermogen om exact te bepalen welke data, door wie en wanneer is benaderd – binnen minuten – het verschil tussen een beperkt incident en een regelrechte crisis. Volgens het IBM Cost of a Data Breach Report 2025 lossen organisaties met volwassen governance datalekken ongeveer 70 dagen sneller op dan organisaties zonder.

Ten zesde, stem de e-mailbeveiligingsstrategie af op het bredere AI-dreigingslandschap. AI-gegenereerde phishing is geen op zichzelf staande dreiging – het is één voorbeeld van een groter patroon waarbij aanvallers AI gebruiken om complexiteit op te schalen. Het Thales 2026 Data Threat Report benoemt AI-gegenereerde desinformatie en deepfakes als wijdverspreide bedreigingen die de effectiviteit van phishing vergroten. E-mailbeveiliging in isolatie behandelen mist de bredere AI-ondersteunde fraude-architectuur waar aanvallers nu op opereren.

De terugkeer van phishing naar de top van de initiële toegangslijst is geen verrassing. De verrassing is hoeveel van de enterprise security stack nog steeds was gebouwd op de aanname dat phishingmails door mensen te herkennen zijn. AI heeft die rekensom veranderd. De architectuur moet volgen.

Het grotere patroon: AI herschrijft de economie van initiële toegang

De terugkeer van phishing naar de top van de lijst is één signaal in een groter patroon dat benoemd moet worden. AI verlaagt systematisch de kosten voor aanvallers in elke fase van de aanvalscyclus.

Reconnaissance: AI vat publieke informatie over doelwitten sneller samen dan elke menselijke analist. Scripting: AI schrijft functionele kwaadaardige code op basis van natuurlijke taal. Social engineering: AI genereert gepersonaliseerde lokmails op industriële schaal. Laterale beweging: AI helpt aanvallers onbekende omgevingen te navigeren na initiële toegang. Het CrowdStrike 2026 Global Threat Report documenteert een stijging van 89% in AI-ondersteunde aanvallen door tegenstanders ten opzichte van het voorgaande jaar.

Elk van deze mogelijkheden versterkt de andere. Een phishingcampagne die AI gebruikt om doelwitten te onderzoeken, AI om lokmails te schrijven, AI om ze cultureel en per rol te lokaliseren en AI om de follow-up te orkestreren, is fundamenteel anders dan de phishingcampagnes waar incident response-teams aan gewend waren. De complexiteit is niet langer het onderscheidende kenmerk. De economie is dat wel.

Wanneer de kosten per lokmail dalen van uren menselijk werk naar seconden rekentijd, verandert het ontwerp van de campagne van de aanvaller. Het wordt rationeel om iedereen te phishen, elk bericht te personaliseren, op elke reactie te reageren en in elke interactie te investeren. Dat is geen toekomstscenario – de Cisco Talos Q1 2026-data die phishing weer bovenaan de initiële toegangslijst zet, is het bewijs van dit kwartaal.

Organisaties die zich tegen deze economische verschuiving willen verdedigen, moeten hun eigen economie aanpassen. Filtergebaseerde verdediging schaalt met de hoeveelheid inkomende berichten – en AI maakt die hoeveelheid feitelijk oneindig. Verdediging gebaseerd op afzenderautorisatie schaalt met het aantal goedgekeurde afzenders – en dat aantal is begrensd door de zakelijke realiteit. De economie werkt pas in het voordeel van de verdediger als de verdediging plaatsvindt op een oppervlak dat de aanvaller niet eenvoudig kan vergroten.

Veelgestelde vragen

Volgens Cisco Talos was phishing verantwoordelijk voor meer dan een derde van de Q1 2026-incidenten waarbij de initiële toegang werd vastgesteld – en keerde daarmee voor het eerst sinds Q2 2025 terug aan de top. De terugkeer wordt vooral gedreven door aanvallers die grote taalmodellen gebruiken om phishing-lokmails en kwaadaardige scripts op schaal te genereren, waardoor de verhouding tussen kwaliteit en kosten van phishingcampagnes drastisch verbetert.

Traditionele phishing was gebaseerd op sjablonen, algemene taal en hoeveelheid. AI-gegenereerde phishing is gepersonaliseerd, cultureel afgestemd en grammaticaal perfect. De WEF Global Cybersecurity Outlook 2026 meldt dat AI aanvallers in staat stelt social engineering te automatiseren en op te schalen, waardoor realistische e-mails, deepfake-audio en -video en vervalste documenten ontstaan die zowel geautomatiseerde filters als menselijke controle omzeilen.

Awareness-training blijft waardevol voor het omgaan met inloggegevens, verificatie buiten de normale kanalen en het melden van verdachte activiteiten – maar is niet langer betrouwbaar als primaire detectiemaatregel. De aanname dat medewerkers AI-gegenereerde lokmails van legitieme communicatie kunnen onderscheiden door goed te lezen, gaat niet meer op als de lokmails zijn gegenereerd door commerciële LLM’s die vloeiend zakelijk Engels schrijven.

Phishing compromitteert menselijke identiteiten en inloggegevens. Falen van AI agent-beveiliging compromitteert niet-menselijke identiteiten en hun toegangstokens. Beide leiden tot dezelfde data. Het IBM Cost of a Data Breach Report 2025 laat zien dat AI-gerelateerde datalekken vaak te maken hebben met ontbrekende toegangscontroles in beide categorieën – mens en machine – en het Kiteworks Data Security and Compliance Risk: 2026 Forecast Report adviseert om governance voor beide te verenigen.

Een pre-approved sender-architectuur beperkt inkomende e-mail tot afzenders die de organisatie expliciet heeft geautoriseerd – meestal partners, klanten en leveranciers. AI-gegenereerde phishing is afhankelijk van de mogelijkheid om de lokmail bij het doelwit in de inbox te krijgen. Wanneer de bezorging wordt beperkt op het niveau van afzenderautorisatie in plaats van berichtinhoud, helpt AI-gegenereerde complexiteit de aanvaller niet. De phishingmail komt simpelweg nooit aan. Dit is het architectuurpatroon dat het meest bestand is tegen AI-geschaalde phishingcampagnes.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks