Salaris verduisterd en verlof geannuleerd: HR-phishingmails hebben in 2025 veel meer dan alleen het federale parlement in de val gelokt.

Een analyse van 7 miljoen berichten toont het belang aan van HR-phishing, vandaag de dag het meest effectieve phishing-wapen. Voor Manon Vandebergh, COO van Phished, is voortdurende bewustwording absoluut noodzakelijk.

Hoewel de verduistering door MR-parlementslid Mathieu Michel, voormalig staatssecretaris voor Digitalisering, de krantenkoppen haalde, is dit incident geen op zichzelf staand geval. Verre van dat. Uit een analyse van meer dan 7 miljoen realistische phishingsimulaties, die het afgelopen jaar door het Belgische cyberbeveiligingsbedrijf Phished naar ongeveer 500.000 Belgische werknemers zijn gestuurd, blijkt dat tot 30 % van de werknemers een fout maakt wanneer ze worden geconfronteerd met phishingmails op het gebied van human resources.

“Het gaat onder meer om valse berichten waarin de annulering of plotselinge wijziging van vakantiedagen wordt aangekondigd, frauduleuze documenten over de bezoldiging of valse ontslagbrieven”, legt Manon Vandebergh, COO van Phished, uit. “In dergelijke situaties klikken veel ontvangers snel, zonder de authenticiteit van het bericht te controleren.”

Hoe sterker de emotie, hoe groter het risico

Berichten die zich voordoen als afkomstig van de personeelsafdeling zijn bijzonder effectief omdat ze rechtstreeks betrekking hebben op het professionele – en soms persoonlijke – leven van werknemers. Onderwerpen als “Afwijzing van verlofaanvraag” of “Wijziging van het telewerkbeleid” roepen onmiddellijk emotionele reacties op. Angst, stress of verwarring nemen dan de overhand, ten koste van de gebruikelijke waakzaamheid.

“Dit mechanisme beperkt zich overigens niet tot HR-berichten: e-mails over verkeersovertredingen of belastingen behoren ook tot de meest gebruikte lokmiddelen”, vervolgt Manon Vandebergh.

Volgens haar past deze ontwikkeling in een bredere dynamiek. Met AI-tools is het tegenwoordig gemakkelijker om geloofwaardige, gepersonaliseerde en foutloze phishing berichten te produceren. Deze berichten kunnen automatisch en op grote schaal worden verzonden. “Sinds de lancering van ChatGPT is het wereldwijde aantal phishingberichten dan ook sterk toegenomen…”

De vijf thema’s die werknemers het vaakst in de val lokken

Op basis van de analyse van de simulaties die in 2025 zijn uitgevoerd, identificeert Phished de volgende onderwerpen als de meest waarschijnlijke oorzaak van klikken of ongepaste acties:

  1. Vakantie- of beloningsbeleid (31,5%)
  2. Wijzigingen in intern beleid en interne procedures (24,7 %)
  3. HR-informatie en -documenten (18,1 %)
  4. Verkeersovertredingen en belastingen (16,7 %)
  5. Ondertekening van bedrijfsdocumenten (9,2 %)

Opleiden op het verkeerde moment beperkt het leerproces

Veel organisaties proberen hun werknemers bewust te maken door regelmatig phishing-simulaties te versturen. Wanneer iemand op een frauduleus bericht klikt, krijgt hij onmiddellijk een waarschuwing dat hij een fout heeft gemaakt. Dit model, dat vaak ‘click & blame’ wordt genoemd, is wijdverbreid.

Volgens Phished heeft deze aanpak echter zijn beperkingen. “Recent academisch onderzoek suggereert dat dit soort eenmalige trainingen alleen effect hebben op werknemers die een fout maken, terwijl een grote meerderheid nooit echt wordt getraind.”

Bovendien is het ontvangen van een waarschuwing op het moment dat men een verdachte e-mail opent niet altijd bevorderlijk voor het leerproces: werknemers zijn dan vooral gefocust op hun inbox en hun dagelijkse taken.

Voortdurende bewustmaking als essentiële voorwaarde

Voor Manon Vandebergh is regelmatige en voortdurende bewustmaking de belangrijkste manier om de cyberweerbaarheid te versterken. “Werknemers moeten de tijd en ruimte krijgen om te leren waarschuwingssignalen te herkennen, te weten hoe ze moeten reageren in geval van twijfel en kalm te blijven bij emotioneel geladen berichten.”

In een context waarin cybercriminaliteit een steeds groter economisch probleem vormt, acht het bedrijf het illusoir te denken dat een paar incidentele simulaties volstaan om de waakzaamheid van organisaties duurzaam te versterken.