Nieuw Proofpoint-rapport onthult 400% piek in ClickFix-malwarecampagnes

Proofpoint heeft het tweede deel van zijn Human Factor 2025 Report-serie gepubliceerd. Het rapport is gebaseerd op gegevens van Proofpoints threat intelligence-platform en beschrijft hoe cybercriminelen geavanceerde social engineering en door AI gegenereerde content gebruiken om kwaadaardige URL’s steeds moeilijker identificeerbaar te maken voor gebruikers. 

Of het nu via e-mail, sms-berichten of samenwerkingsapps is, URL-gebaseerde bedreigingen domineren het cyberdreigingslandschap. Aanvallers imiteren niet alleen vertrouwde merken, ze misbruiken ook legitieme diensten, misleiden gebruikers met valse meldingen en omzeilen traditionele beveiliging door bedreigingen in QR-codes en sms-berichten te integreren.  

De belangrijkste bevindingen:

Kwaadaardige URL's zijn nu het populairste middel - ze worden vier keer vaker gebruikt dan bijlagen in e-mailbedreigingen: cybercriminelen geven steeds vaker de voorkeur aan URL's boven bijlagen, omdat ze gemakkelijker te verbergen zijn en detectie gemakkelijker ontwijken. Deze links zijn inbedded in berichten, knoppen en zelfs in bijlagen zoals pdf's of Word-documenten, om klikken te stimuleren die phishing op basis van inloggegevens of malwaredownloads initiëren. 

Het aantal ClickFix-malwarecampagnes is met bijna 400% gestegen ten opzichte van het voorgaande jaar: ClickFix is een phishingtechniek die gebruikers verleidt tot het uitvoeren van schadelijke code door valse foutmeldingen of CAPTCHA-schermen weer te geven. Door gebruik te maken van de drang om een vermeend technisch probleem op te lossen, is deze methode snel een veelgebruikte tactiek geworden voor malware-exploitanten, waarmee ze Remote Access Trojans (RAT's), infostealers en loaders kunnen verspreiden.  

Proofpoint identificeerde alleen al in de eerste helft van 2025 meer dan 4,2 miljoen QR-code phishingbedreigingen: aanvallen op basis van QR-codes onttrekken gebruikers aan de beveiliging van bedrijven door gebruik te maken van persoonlijke mobiele apparaten. Eenmaal gescand, leiden deze codes gebruikers door naar phishingwebsites die zijn ontworpen om gevoelige informatie te verzamelen, zoals inlog-, creditcard- of persoonlijke identificatiegegevens, allemaal onder het mom van legitimiteit. 

Phishing met inloggegevens blijft het meest voorkomende doelwit voor aanvallers, met 3,7 miljard URL-gebaseerde aanvallen gericht op het stelen van inloggegevens: Aanvallers richten zich overwegend op het stelen van inloggegevens in plaats van het verspreiden van malware. Met phishing-lokmiddelen die vertrouwde merken imiteren en gebruikmaken van kant-en-klare tools zoals CoGUI en Darcula phishingkits, kunnen zelfs minder bekwame hackers zeer overtuigende campagnes opzetten die multifactorauthenticatie omzeilen en leiden tot volledige accountovername.

Smishingcampagnes stegen met 2,534% door verlegde focus naar mobiele apparaten door hackers: minstens 55% van de vermoedelijke sms-gebaseerde phishingberichten (smishing) die door Proofpoint werden geanalyseerd, bevatten kwaadaardige URL's. Deze imiteren vaak overheidscommunicatie of bezorgdiensten en zijn zeer effectief vanwege de directheid en het vertrouwen dat gebruikers hebben in mobiele sms-berichten. Dit weerspiegelt een bredere verschuiving van cybercriminelen naar mobiele targeting.

"De meest schadelijke cyberdreigingen richten zich tegenwoordig niet op machines of systemen. Ze richten zich op mensen. Bovendien beperken URL-gebaseerde phishingdreigingen zich niet langer tot de inbox, ze kunnen overal worden uitgevoerd en zijn vaak extreem moeilijk te identificeren voor mensen", aldus Matt Cooke, cybersecuritystrateeg EMEA bij Proofpoint. "Van QR-codes in e-mails en nep-CAPTCHA-pagina's tot mobiele smishingfraude, aanvallers misbruiken vertrouwde platforms en bekende ervaringen om de menselijke psychologie uit te buiten. Verdediging tegen deze bedreigingen vereist multi-layer, AI-gestuurde detectie en een mensgerichte beveiligingsstrategie." 

Klik hier om The Human Factor 2025: Volume 2 – Phishing en URL-gebaseerde bedreigingen te downloaden.