Volgens Barra­cuda’s 2025 phishing-review is vorig jaar het aantal bekende phishing-as-a-service (PhaaS)-kits verdub­beld. Daardoor is de druk toege­nomen op de securi­ty­teams die organi­sa­ties moeten verde­digen tegen deze steeds veran­de­rende dreiging.

Met agres­sieve nieuw­ko­mers zoals Whisper 2FA en Ghost­Frame werden inven­tieve en ontwij­kende tools en tactieken geïntro­du­ceerd, waaronder technieken om analyse van hun schade­lijke code te voorkomen. Tegelij­ker­tijd bleven geves­tigde groepen, zoals Mamba en Tycoon, zich verder ontwik­kelen. Met elke kit werden miljoenen phishing-aanvallen uitgevoerd.

Volgens de analyse van Barra­cuda waren dit de tools en technieken die in 2025 het meest door phishing-kits werden gebruikt:

• Omzei­ling van multi-factor authen­ti­catie, waarge­nomen in 48% van de aanvallen;
• Technieken voor het verbergen van URL’s, ook in 48% van de aanvallen waargenomen;
• Misbruik van CAPTCHA voor ontwij­king, dat in 43% van alle aanvallen werd toegepast;
• Polymorfe technieken en het gebruik van kwaad­aar­dige QR-codes, elk in ongeveer 20% van de aanvallen;
• Schade­lijke bijlagen, gebruikt in 18% van alle aanvallen;
• Misbruik van vertrouwde online platforms (waarge­nomen in 10% van de aanvallen) en het gebruik van genera­tieve AI-tools zoals sites voor zero-code devel­op­ment (ook 10%).

De belang­rijkste thema’s die bij phishing-e-mails worden gebruikt, lijken opval­lend veel op die van voorgaande jaren, hoewel ze in de loop van de tijd zijn geëvo­lu­eerd dankzij het gebruik van genera­tieve AI en andere tools.

In 2025 ging het bij een op de vijf (19%) phishing-e-mails om betalings- en factuur­fraude. E‑mails met digitale handte­ke­ningen en document­be­oor­de­lingen waren goed voor 18% van de aanvallen, waarbij het in 13% van de gevallen ging om HR-gerela­teerde documenten. Veel daarvan maakten misbruik van vertrouwde merknamen, waarbij websites en logo’s steeds nauwkeu­riger worden nagebootst.

“Phishing-kits zijn in 2025 naar een hoger niveau getild, omdat ze zowel in aantal als qua verfij­ning zijn toege­nomen. Hierdoor hebben zelfs minder ervaren cyber­cri­mi­nelen de beschik­king over geavan­ceerde, full-service aanvals­plat­forms en kunnen ze op grote schaal krach­tige aanvallen uitvoeren”, zegt Ashok Sakthivel, Director Software Enginee­ring bij Barra­cuda. “De kits bevatten technieken die zijn ontworpen om het voor gebrui­kers en securi­ty­teams moeilijker te maken om fraude op te sporen en te voorkomen. Om beschermd te blijven, moeten organi­sa­ties verder gaan dan stati­sche verde­di­gings­me­cha­nismen en moeten ze gelaagde strate­gieën toepassen: eindge­brui­kers­trai­ning, phishing-besten­dige MFA, continue monito­ring. En ze moeten e‑mailsecurity centraal stellen in een geïnte­greerde, end-to-end securitystrategie.”

Lees hier de blog voor meer infor­matie over hoe phishing-kits zich in 2025 hebben ontwik­keld: https://​blog​.barra​cuda​.com/​2​0​2​6​/​0​1​/​0​7​/​t​h​r​e​a​t​-​s​p​o​t​l​i​g​h​t​-​p​h​i​s​h​i​n​g​-​k​i​t​s​-​e​v​o​l​v​e​d​-​2025