Phishing is voor het eerst in een jaar weer de belangrijkste methode voor ongeautoriseerde toegang, goed voor ruim een derde van de incidenten. Cybercriminelen gebruiken AI-tools om professionele webpagina’s te bouwen voor het buitmaken van inloggegevens. Consistent en snel vulnerability- en patchmanagement, gecombineerd met goede logging en monitoring, blijft essentieel.Het aantal ransomware-incidenten is fors gedaald naar 18%, waar dit een jaar geleden nog 50% was. Dat zij enkele uitkomsten uit de incident response analyse van Cisco’s threat intelligence-organisatie Talos over het eerste kwartaal van 2026
De analyse schetst een fundamentele verschuiving in het dreigingslandschap. Waar cybercriminelen voorheen hun tijd staken in complexe technische exploits, zien we nu een beweging terug naar mensgerichte aanvallen. Het grote verschil? Deze aanvallen worden nu ‘supercharged’ door AI.
“We zien een fundamentele verandering in de tactieken van cybercriminelen,” vertelt Jan Heijdra, Field CTO Security bij Cisco Nederland. “We zien steeds meer mensgerichte aanvallen opduiken. Wanneer een cybercrimineel met een AI-platform en een paar prompts binnen enkele minuten een overtuigende webpagina voor het buitmaken van inloggegevens kan opzetten, betreden we een nieuw tijdperk. De snelheid en schaal van deze social engineering-aanvallen zullen veel traditionele verdedigingsmechanismen overtreffen. Dit heeft directe gevolgen voor de security en het bredere debat over de rol van AI bij offensieve cyberoperaties.”
De praktijk: phishing zonder code
Hoe dit er in de realiteit uitziet, bleek uit een opvallend incident waarbij cybercriminelen Softr misbruikten, een platform dat normaal gesproken bedoeld is voor het bouwen van webapplicaties. Ze zetten hiermee razendsnel een phishingpagina op die specifiek was gericht op de Microsoft Exchange- en Outlook Web Access accounts van overheidsmedewerkers.
Het meest verontrustende is hoe eenvoudig het proces was. Er kwam geen regel code aan te pas. Met slechts een paar simpele AI-prompts stond de pagina live. Zelfs het verzamelen van de buit verliep volledig geautomatiseerd: de gestolen inloggegevens werden direct doorgestuurd naar externe locaties zoals Google Sheets, waarbij de cybercriminelen via automatische meldingen in real-time op de hoogte bleven van elke nieuwe ‘vangst’.
Een opvallende trendbreuk in toegangsmethoden
De toename van phishing als belangrijkste toegangsmethode markeert een significante wending. Waar in 2025 nog op grote schaal misbruik werd gemaakt van SharePoint (via de ToolShell-methode), zien we dat deze aanvalsvector in Q1 2026 is gekelderd van 62% naar slechts 18%. Dit is het directe resultaat van snelle noodpatches en verbeterde beveiligingsdetectie. Phishing, dat sinds het tweede kwartaal van 2025 niet meer bovenaan de lijst stond, heeft dit gat nu direct opgevuld. Het gebruik van geldige inloggegevens staat inmiddels op de tweede plaats (24%).
Heijdra nuanceert dit: “De afname in ToolShell-exploitatie onderstreept het effect van snel handelen. Maar cybercriminelen laten zich niet uit het veld slaan en richten hun pijlen nog meer op de menselijke factor. De data van dit kwartaal herinneren ons er pijnlijk aan dat technische en mensgerichte verdediging hand in hand moeten gaan. Consistent en snel patch management, gecombineerd met goede logging en monitoring, blijft daarom essentieel om kwetsbaarheden tijdig te dichten en verdachte activiteit vroeg te detecteren.”
MFA-zwakheden steeds vaker misbruikt
35% van de incidenten dit kwartaal was direct terug te voeren op zwakheden in multi-factor authenticatie (MFA), een zorgwekkende stijging. Cybercriminelen omzeilen MFA door nieuwe apparaten te registreren bij reeds gecompromitteerde accounts, of door Outlook-clients direct te configureren voor verbinding met Exchange-servers, waardoor de MFA-beveiliging simpelweg wordt overgeslagen. Deze bevindingen maken duidelijk dat het enkel ‘inschakelen’ van MFA niet langer volstaat. Organisaties moeten kritisch kijken naar hun beleid. Beperk daarom self-service MFA-registratie en dwing strikte, gecentraliseerde authenticatieprotocollen af.
Overheid en gezondheidszorg blijven primaire doelwitten
De publieke sector en de gezondheidszorg blijven de meest getargete sectoren, elk goed voor 24% van alle incidenten. Voor de overheid is dit al het derde kwartaal op rij dat zij bovenaan de lijst staan. Deze sectoren blijven aantrekkelijk voor cybercriminelen vanwege een combinatie van factoren: beperkte budgetten, verouderde apparatuur, toegang tot uiterst gevoelige gegevens en een extreem lage tolerantie voor downtime.
Minder ransomware, maar het risico blijft
Pre-ransomware-incidenten vormden slechts 18% van de gevallen. Dankzij tijdig en adequaat ingrijpen door Talos IR bleef het in alle gevallen bij een poging en is er geen versleuteling waargenomen. Dit is een aanzienlijke daling ten opzichte van de 50% van een jaar geleden. Toch plaatst Talos een kanttekening dat grote ransomware-as-a-service-operaties zoals Qilin en Akira onverminderd actief blijven. In een incident zetten Rhysida-actoren zelfs een ongebruikelijke backdoor (MeowBackConn) in, in combinatie met blootgestelde beheerpoorten en overgeprivilegieerde service-accounts. Dat laat zien dat kwetsbare infrastructuur nog altijd een serieus risico vormt.
De weg vooruit: gelaagde verdediging
Heijdra benadrukt dat deze bevindingen vragen om een urgente koerswijziging: “Organisaties moeten investeren in phishing-bestendige MFA, self-service apparaatregistratie drastisch inperken en ontwikkelaars-inloggegevens en cloud-tokens met dezelfde strengheid behandelen als bevoorrechte accounts. De combinatie van AI-gestuurde phishing en geavanceerde MFA-omzeilingstechnieken betekent dat geen enkele beveiligingsmaatregel alleen nog volstaat. Een gelaagde, proactieve verdedigingsstrategie is de enige weg vooruit, waarin strak vulnerability- en patchmanagement, samen met continue logging en monitoring, onmisbaar zijn om kwetsbaarheden voor te blijven en aanvallen vroegtijdig te detecteren.”
Lees de volledige analyse hier: https://blog.talosintelligence.com/ir-trends-q1-2026/
