HR-phishingmails lokten niet alleen het Belgisch federaal parlement in de val in 2025

Eind 2025 analyseerden we bij Phished 7 miljoen realistische phishingsimulaties die naar 500.000 Belgische medewerkers werden uitgestuurd. Daaruit bleek dat 1 op 3 medewerkers op HR-gerelateerde phishing klikt. De bevindingen werden opgepikt door Belgische media zoals Het Nieuwsblad, Het Belang van Limburg, Gazet van Antwerpen, QMusic, Joe FM, Solutions Magazine en TinyNews. Een loonfraude-incident rond parlementslid Mathieu Michel onderstreepte eerder al hoe overtuigend zulke HR-gerelateerde phishingmails kunnen zijn.

HR-berichten werken zo goed omdat ze impact hebben op het persoonlijk leven van de medewerker of een collega. Een mail met als onderwerp “Afkeuring verlofaanvraag” of “Aanpassing telewerkbeleid” roept meteen emoties op. Ontvangers voelen angst, stress of verwarring en laten hierdoor hun veiligheidsreflexen los. Daardoor wordt er vaak geklikt zonder de mail kritisch te bekijken. Ook verkeersovertredingen en belastingen lokken medewerkers gemakkelijk in de val.

Met de hulp van AI produceren hackers dit soort berichten vandaag moeiteloos. Het gaat om gepersonaliseerde, foutloze phishingmails die op allerlei gevoelige onderwerpen inspelen. Ze worden op grote schaal en volledig geautomatiseerd verstuurd. Zo is, sinds de lancering van ChatGPT, het aantal phishingmails wereldwijd verdubbeld.

1. Vakantie- of loonbeleid (31,5%)
2. Wijzigingen bedrijfsbeleid en policies (24,7%)
3. HR- informatie en -documenten (18,1%)
4. Verkeersovertredingen en belastingen (16,7%)
5. Ondertekening bedrijfsdocumenten (9,2%)

Veel bedrijven proberen medewerkers te wapenen tegen phishing door regelmatig phishingtesten te versturen. Wie verkeerd klikt, krijgt onmiddellijk de melding dat hij of zij een fout heeft gemaakt en voortaan beter moet opletten. Dit zogenaamde “click & blame”-model is wijdverspreid en wordt door de meeste IT-managers nog steeds gezien als de efficiëntste vorm van training. Die aanpak levert nochtans amper resultaten op – zo toon ook recent wetenschappelijk onderzoek*** van de universiteiten van Californië en San Diego aan. Daaruit blijkt dat simulatietraining niet werkt omdat alleen medewerkers die in de fout gaan, getraind worden. De overgrote meerderheid wordt dus niet getraind.

Een bijkomend probleem is dat je medewerkers figuurlijk een draai om de oren geeft op het moment dat ze een phishingmail openen. Ze zijn dan niet in de juiste mindset om te leren: ze zijn vooral bezig met hun mailbox en willen vooruit met hun werk.

Bedrijven en organisaties moeten medewerkers regelmatig de tijd geven om te leren, los van de concrete fouten die ze maken. Twee trainingsmomenten per maand is een olympisch minimum. Het moet interactieve training zijn die medewerkers niet zozeer uitlegt wat ze verkeerd doen, maar vooral hoe ze phishingmails herkennen, welke stappen ze nemen bij twijfel en hoe ze rust bewaren bij persoonlijke of emotioneel geladen berichten. Wanneer een medewerker die op die manier is getraind een verzoek tot wijziging van het rekeningnummer krijgt, heeft hij de juiste kennis en veiligheidsreflexen om niet alleen de afzender te controleren, maar ook via een alternatief communicatiekanaal na te gaan of de aanvraag legitiem is. Uit onze data blijkt dat bij organisaties die permanent trainen op cybersecurity de kans op hacking door menselijke fouten drastisch naar beneden gaat.

De urgentie is groot. De kost van cybercriminaliteit bedroeg in 2025 15 biljoen dollar; dit zal eind 2026 oplopen tot 20 biljoen dollar, waarmee het de tweede grootste economie ter wereld, China, op de hielen zit. In dat licht is het naïef om te denken dat de cyberweerbaarheid van medewerkers kan versterkt worden door gewoon wat simulaties te versturen.

*Bron: analyse simulaties Phished 2025
** Percentage van mensen dat in een vals bericht doorklikt op een link, een bijlage opent, of bedrijfs- of persoonlijke data deelt
***Bron: Understanding the efficacy of phishing training in practice (8-month randomized controlled study, UC San Diego Health). University of California, San Diego & UC San Diego Health