De statistieken verbeteren licht, de CISO rapporteert vooruitgang aan de board, en ondertussen blijft phishing de grootste ingang voor cyberaanvallen wereldwijd. De aanpak voelt productief, maar de cijfers vertellen een ander verhaal.

‍

Volgens het Microsoft Digital Defense Report 2025 stegen identity-based attacks in de eerste helft van 2025 met 32 procent, waarbij meer dan 97 procent van die aanvallen bestaat uit grootschalige wachtwoordaanvallen. AI maakt phishing inmiddels zo overtuigend dat klikpercentages 4,5 keer hoger liggen dan bij traditionele phishing. De dreiging groeit, terwijl de beveiligingsindustrie jaar na jaar dezelfde oplossing blijft verkopen.

‍

Vier grote namen, miljoenen gedupeerden, (waarschijnlijk) dezelfde oorzaak

De afgelopen maanden hebben laten zien wat er op het spel staat. Bij Odido werden de persoonsgegevens van meer dan 6 miljoen accounts buitgemaakt, vermoedelijk via gecompromitteerde toegang tot hun Salesforce-omgeving. Bij Booking.com kregen aanvallers toegang tot reserveringsdata van klanten door eerst hotelmedewerkers te misleiden met een overtuigende phishingcampagne, waarna gestolen credentials de deur openzetten naar het partnerplatform. In april 2026 volgden ook Basic-Fit en Rituals, waarbij bij elk ongeautoriseerde toegang tot klantdata werd verkregen. Vier grote namen, in korte tijd, met miljoenen gedupeerde klanten als resultaat.

‍

Wat deze incidenten gemeen hebben is niet primair een technisch lek in code of infrastructuur, maar een keten waarbij toegang werd verkregen via de menselijke factor en gecompromitteerde identiteiten. Toch is de reactie van de industrie telkens vrijwel identiek: de getroffen organisaties adviseren klanten om alert te zijn op phishing en geen gevoelige gegevens te delen. Met andere woorden, de verantwoordelijkheid wordt teruggelegd bij de mensen die al slachtoffer zijn geworden.

De verantwoordelijkheid ligt op de verkeerde plek

Awarenesstrainingen zijn gebaseerd op een aanname dat mensen in staat zijn om nep van echt te onderscheiden. Die aanname is fundamenteel onjuist omdat de aanvallen inmiddels zo geavanceerd zijn dat het onderscheid objectief niet meer te maken valt. AI genereert phishingberichten die foutloos zijn, contextrijk en persoonlijk, samengesteld op basis van informatie die openbaar beschikbaar is. 

‍

Als een beveiligingsexpert een bericht niet meer van echt kan onderscheiden, is het onredelijk om dat van een medewerker onder werkdruk te verwachten. Zodra je dat erkent, wordt de logische conclusie onvermijdelijk: een training die mensen leert nep van echt te herkennen, lost een probleem op dat technisch niet oplosbaar is via menselijk onderscheidingsvermogen.

‍

Toch blijven we investeren in hetzelfde model. Medewerkers worden getraind, gesimuleerd aangevallen, beoordeeld en bijgeschoold. Als het dan misgaat, is de conclusie al snel dat iemand niet oplettend genoeg was. Zo verschuift de verantwoordelijkheid voor een structureel technisch probleem naar het individu dat op het verkeerde moment even niet gefocust was. Dat is niet alleen oneerlijk, het lost ook niets op.

De technische oplossing bestaat al, maar de meeste organisaties weten het nog niet

Wat MindYourPass onderscheidt van andere wachtwoordmanagers zit in de methodologie. In plaats van een wachtwoord op te slaan en in te vullen waar het gevraagd wordt, genereert MindYourPass voor elke website een uniek wachtwoord dat onlosmakelijk gekoppeld is aan de exacte URL van die website. Dat wachtwoord wordt berekend op basis van drie factoren: de URL, het account en een persoonlijk wachtwoord voor MindYourPass. Verandert één van die factoren, dan verandert het gegenereerde wachtwoord automatisch mee.

‍

Dat is precies wat er gebeurt bij credential phishing. De URL van een phishingsite wijkt altijd af van de echte site, hoe klein dat verschil ook is. Daardoor genereert MindYourPass op de phishingsite een ander wachtwoord dan op de legitieme site. De aanvaller ontvangt wel een wachtwoord, maar dat wachtwoord werkt nergens. De schade die normaal volgt op een moment van onoplettendheid, blijft uit.

‍

De meeste wachtwoordmanagers werken anders: ze controleren of een website bekendstaat als malafide en waarschuwen de gebruiker voordat het wachtwoord wordt ingevuld. Voor bekende phishingsites werkt dat redelijk, maar nieuwe domeinen, slim vermomde URL's en aanvallen die nog niet in een database staan, glippen er gewoon doorheen. Daar komt bij dat mensen meldingen negeren, zeker als ze onder tijdsdruk staan of de situatie vertrouwd aanvoelt. De wachtwoordmanager heeft dan zijn werk gedaan, maar de aanvaller heeft tóch zijn wachtwoord. MindYourPass omzeilt dat probleem volledig, omdat de bescherming niet afhankelijk is van herkenning achteraf maar ingebouwd zit in de manier waarop het wachtwoord wordt gegenereerd.

De stelling die de industrie niet wil stellen

Zolang phishingsites bruikbare wachtwoorden opleveren, blijft phishing werken. Dat is geen nieuws, maar het is een conclusie waar de industrie consequenties aan zou moeten verbinden. Als bewustwording de cijfers al jaren niet structureel verbetert, en de aanvallen alleen maar geavanceerder worden door AI, dan is het antwoord niet meer van hetzelfde. De logische vervolgvraag is niet hoe je de schade van een menselijke fout technisch elimineert, maar hoe je de menselijke fout zelf voorkomt. Niet door mensen beter te trainen, maar door een systeem te bouwen waarin een fout geen gevolgen heeft omdat het gestolen wachtwoord simpelweg nergens werkt.

‍

De oplossing zit op twee niveaus, en dat onderscheid is belangrijk. Het eerste niveau is de mailinfrastructuur: ervoor zorgen dat phishingmails de gebruiker überhaupt niet bereiken. Technologieën zoals DMARC, DKIM en SPF, aangevuld met AI-gedreven filtering, maken het mogelijk om een groot deel van de aanvallen al bij de poort te onderscheppen.

‍

Het tweede niveau geldt voor de gevallen waarin dat niet lukt, want die gevallen zullen er altijd zijn. Daar is de vraag niet hoe je de gebruiker alerter maakt, maar hoe je ervoor zorgt dat een gephisht wachtwoord geen schade aanricht. De gebruiker zit tussen die twee lagen in, en dat is precies waar de industrie hem jarenlang alleen heeft laten staan. Door beide lagen serieus te nemen ontlast je de gebruiker structureel, in plaats van hem jaar na jaar te trainen op een probleem dat technisch oplosbaar is.

‍