QR-codephishing steeg 146% in één kwartaal - en bijna alle aanvallen zijn gericht op je wachtwoord

Phishingaanvallen nemen niet alleen toe, ze worden ook slimmer en gerichter. Dat blijkt uit een nieuw onderzoeksrapport over Q1 2026 van Microsoft. De cijfers zijn opvallend: QR-codephishing is de snelst groeiende aanvalsvorm, credential phishing is goed voor bijna alle incidenten, en een internationaal gecoördineerde actie verstoorde één van de grootste phishingplatforms ter wereld.

QR-codephishing groeide in het eerste kwartaal van 2026 met 146 procent ten opzichte van het kwartaal ervoor. De reden voor die groei is technisch maar simpel te begrijpen: traditionele e-mailbeveiligingssystemen scannen links en bijlagen, maar een QR-code is een afbeelding. Die wordt niet als gevaarlijke URL herkend, waardoor de aanval de eerste detectielaag omzeilt.

De gebruiker scant de QR-code met zijn telefoon, belandt op een nepwebsite en vult zijn inloggegevens in. Omdat dat op een mobiel apparaat gebeurt - buiten het beveiligde bedrijfsnetwerk - is de kans op detectie nog kleiner.

Credential phishing - aanvallen gericht op het stelen van inloggegevens - was in Q1 2026 verantwoordelijk voor 89 tot 95 procent van alle phishingincidenten. Microsoft signaleerde onder andere een grootschalige 'code of conduct'-campagne waarbij meer dan 35.000 gebruikers bij ruim 13.000 organisaties wereldwijd werden getroffen. De aanval maakte gebruik van meerdere stappen om detectie te vermijden en leidde uiteindelijk tot AiTM-token-compromis - waarbij aanvallers niet het wachtwoord zelf stelen, maar de sessietoken na een geslaagde login, waardoor tweefactorauthenticatie omzeild wordt.

In maart werkte de Microsoft Digital Crimes Unit samen met internationale partners aan de verstoring van Tycoon2FA, een phishing-as-a-serviceplatform dat door cybercriminelen werd gebruikt om aanvallen op grote schaal uit te voeren. De actie leidde direct tot een daling van 15 procent in phishingactiviteit en beperkte de toegang tot actieve phishingpagina's aanzienlijk. Phishing-as-a-service werkt als een abonnementsmodel: criminelen hoeven de techniek niet zelf te bouwen, maar huren kant-en-klare aanvalsinfrastructuur in.

Tegelijk met het dreigingsrapport maakte Microsoft de algemene beschikbaarheid van Microsoft Agent 365 bekend. De tool is gericht op het beveiligen van AI-workflows en biedt organisaties meer inzicht en controle over hoe AI-agents met data omgaan. Met de opkomst van agentic AI - waarbij AI-systemen zelfstandig acties uitvoeren - groeit ook het aanvalsoppervlak. Agent 365 is Microsofts antwoord op die nieuwe beveiligingsuitdaging.

Het volledige dreigingsrapport is beschikbaar via het Microsoft Security Blog.