In het vierde kwartaal van 2025 stond Microsoft (opnieuw) op de eerste plaats als meest nagebootste merk in phishingaanvallen, goed voor 22% van alle merkgerichte phishingpogingen. Dat blijkt uit cijfers van Check Point Research (CPR), het Threat Intelligence-team van Check Point Software Technologies. Wat tevens opvalt, is dat phishers zich ook richten op kinderen, met een phishingcampagne die Roblox imiteerde.
Na Microsoft volgt Google op de tweede plaats, terwijl Amazon na Black Friday en de kerstperiode naar de derde plaats klom en daarmee Apple achter zich liet. Ook Meta keert terug in de top-10 na een langdurige afwezigheid. Het belandt nu op een vijfde plaats, wat wijst op een hernieuwde interesse van phishers in het overnemen van sociale media-accounts. Phishers maken steeds vaker misbruik van vertrouwde bedrijfs- en consumentenmerken om inloggegevens te verzamelen en zo een eerste toegang te verkrijgen. De aanhoudende dominantie van Microsoft en Google weerspiegelt hun centrale rol in identiteits-, productiviteits- en authenticatieworkflows, waardoor gestolen inloggegevens bijzonder waardevol zijn voor phishers.
Volledige top-10 meest geïmiteerde merken:
- Microsoft – 22%
- Google – 13%
- Amazon – 9%
- Apple – 8%
- Facebook (Meta) – 3%
- Paypal – 2%
- Adobe – 2%
- Booking – 2%
- DHL – 1%
- Linkedin – 1%
Ook (gamende) kinderen in het vizier
In het vierde kwartaal van 2025 identificeerde CPR een phishingcampagne met Roblox, een gratis gamingplatform, als thema. De frauduleuze site verschilde slechts van het legitieme roblox.com door een subtiele lettervervanging.De landingspagina presenteerde een nep-Roblox-game met de titel “SKIBIDI Steal a Brainrot”, compleet met realistische beelden, beoordelingen en een prominente “Play”-knop. De inhoud lijkt sterk op een van de populairste games die momenteel op het Roblox-platform te vinden is en was duidelijk ontworpen om kinderen aan te spreken.
Accountherstel als lokmiddel
Verder identificeerde CPR ook een phishing-site die zich voordoet als Netflix, gehost op netflix-account-recovery[.]com (momenteel inactief). Het domein werd geregistreerd in 2025, in tegenstelling tot het legitieme netflix.com, dat dateert uit 1997.
Ook hier leek de phishingpagina sterk op de officiële inlog- en accountherstelinterface van Netflix en werden gebruikers gevraagd om hun e-mailadres of mobiele nummer en wachtwoord in te voeren. Het doel was duidelijk: het verzamelen van inloggegevens om accounts over te nemen, met het oog op mogelijke doorverkoop van gegevens of andere fraude. Er werd ook een gelijkaardige Spaanse phishingpagina ontdekt die zich voordeed als inlogportaal van Facebook.
Succes van brand phishing
Phishing met merknamen blijft effectief omdat het misbruik maakt van het vertrouwen van gebruikers in bekende platforms. Phishers maken steeds vaker gebruik van minimaal gewijzigde beelden, subtiele domeinmanipulatie en meerfasige processen die de legitieme gebruikerservaring nauwkeurig nabootsen, waardoor slachtoffers vaak niet doorhebben dat hun inloggegevens zijn gestolen.Check Point Research monitort voortdurend phishingcampagnes en trends op het gebied van merkidentiteitsfraude om organisaties en gebruikers te helpen zich te beschermen tegen steeds veranderende bedreigingen.
