Het aantal phishing-as-a-servicekits is in 2025 sterk toegenomen. Volgens een analyse van Barracuda is het aantal bekende kits in een jaar tijd verdubbeld, wat de druk op securityteams verder heeft vergroot. De kits worden technischer, maar volgen tegelijk herkenbare patronen.
Uit de 2025 phishing-review van Barracuda blijkt dat zowel nieuwe als bestaande phishingkits zich verder hebben ontwikkeld. Nieuwe spelers zoals Whisper 2FA en GhostFrame introduceerden technieken om detectie en analyse te bemoeilijken, terwijl gevestigde namen als Mamba en Tycoon hun platforms uitbreidden. Met de verschillende kits werden in totaal miljoenen phishingaanvallen uitgevoerd.
De analyse laat zien dat bepaalde technieken in 2025 duidelijk domineerden. Bij bijna de helft van de aanvallen werd geprobeerd multi-factor authenticatie te omzeilen. Ook het verbergen van URL’s kwam even vaak voor. CAPTCHA’s werden in 43 procent van de aanvallen ingezet om beveiligingscontroles te ontwijken. Polymorfe technieken en het gebruik van kwaadaardige QR-codes werden elk in ongeveer een vijfde van de aanvallen waargenomen. Schadelijke bijlagen speelden een rol in 18 procent van de gevallen. Daarnaast werd in 10 procent van de aanvallen misbruik gemaakt van vertrouwde online platforms en van generatieve ai-tools, zoals zero-code ontwikkelsites.
De inhoud van phishingmails vertoonde volgens Barracuda veel overeenkomsten met eerdere jaren. Wel zijn de thema’s verder verfijnd door het gebruik van nieuwe hulpmiddelen. In 2025 had 19 procent van de phishingmails betrekking op betalings- en factuurfraude. Berichten over digitale handtekeningen en documentbeoordelingen waren goed voor 18 procent van de aanvallen. Daarvan betrof 13 procent hr-gerelateerde documenten. In veel gevallen werden bekende merknamen nagebootst, waarbij websites en logo’s steeds realistischer werden vormgegeven.
Volgens Ashok Sakthivel, Director Software Engineering bij Barracuda, zijn phishingkits in 2025 zowel in aantal als in technische mogelijkheden gegroeid. Dat maakt het voor minder ervaren aanvallers mogelijk om grootschalige en complexe aanvallen uit te voeren. De gebruikte technieken zijn erop gericht om detectie door gebruikers en securityteams te bemoeilijken, wat volgens het bedrijf vraagt om een meerlagige aanpak met aandacht voor training, sterke authenticatie en continue monitoring.
