Waarom HR-mails hét favoriete wapen van phishers zijn

Eind vorig jaar ontving Mathieu Michel, een Kamerlid van MR, zijn parlementaire vergoeding niet, en dat had een bijzondere reden. Kort ervoor had de Kamer van Volksvertegenwoordigers namelijk een e-mail ontvangen met het verzoek om zijn loon naar een ander rekeningnummer over te schrijven.

Die mail bleek echter niet van Michel zelf afkomstig, maar van phishingcriminelen. Hun opzet slaagde: het loon werd naar een frauduleus rekeningnummer doorgestort.

Wat is HR-phishing?

Het incident is geen alleenstaand feit, maar past in een bredere trend waarbij vooral HR-gerelateerde communicatie wordt misbruikt. En vaak gaat het in de andere richting: vanuit de zogenaamde HR-afdeling naar alle werknemers.

In cybersecurityjargon spreekt men van HR-phishing. Dat zijn frauduleuze e-mails die zich voordoen als communicatie van HR of directie en inspelen op gevoelige werkgerelateerde thema’s zoals loon, verlof, contracten of beleidswijzigingen.

Omdat die onderwerpen rechtstreeks raken aan iemands jobzekerheid en inkomen, reageren medewerkers sneller — en emotioneler.

Check: In deze 5 beroepen moet je leugens ontmaskeren

Hoe vaak gaan Belgische werknemers in de fout?

Opvallend vaak. Uit een analyse van meer dan 7 miljoen realistische phishingsimulaties, verstuurd naar ongeveer 500.000 Belgische werknemers over alle afdelingen heen door het Leuvense cybersecuritybedrijf Phished, blijkt dat tot 30% van de medewerkers klikt op HR-gerelateerde phishingmails.

De analyse toont ook aan welke onderwerpen het vaakst tot doorklikken leiden:

Vooral berichten over afgekeurde verlofaanvragen, aangepaste loonvoorwaarden of wijzigingen in het telewerkbeleid blijken bijzonder effectief. Ze creëren onmiddellijke onzekerheid.

In de kijker: Wat doet én verdient een ICT security specialist?

Waarom werken HR-mails zo goed?

Volgens Manon Vandebergh, COO van Phished, raken HR-berichten aan het persoonlijk leven van medewerkers. Een mail met als onderwerp ‘Afkeuring verlofaanvraag’ of ‘Aanpassing loonbeleid’ veroorzaakt, volgens haar, vaak stress of verwarring. In die reflex verdwijnen kritische veiligheidscontroles naar de achtergrond.

Tegelijk worden phishingmails steeds professioneler opgesteld. “Met de hulp van AI produceren hackers dit soort berichten vandaag moeiteloos”, weet Vandebergh. “Het gaat om gepersonaliseerde, foutloze phishingmails die op allerlei gevoelige onderwerpen inspelen. Ze worden op grote schaal en volledig geautomatiseerd verstuurd. Zo is, sinds de lancering van ChatGPT, het aantal phishingmails wereldwijd verdubbeld.”

Waar phishing vroeger herkenbaar was aan taalfouten of vreemde formuleringen, zijn de berichten vandaag vaak grammaticaal correct en perfect afgestemd op de organisatiecontext. Dat maakt ze moeilijker te onderscheiden van echte interne communicatie.

Leer bij: Ontdek de beste opleidingen in cybersecurity

Wat betekent dit voor HR en werknemers?

De cijfers tonen vooral hoe groot de menselijke factor blijft in cyberveiligheid. HR is een vertrouwensfunctie: medewerkers verwachten correcte en dringende communicatie. Dat vertrouwen wordt misbruikt.

Voor organisaties onderstreept het vooral dat phishing best ingrijpend kan zijn, en bewustwording onder de medewerkers vaak nodig is.

Voor werknemers - zowel in de HR-afdeling als daarbuiten - betekent dit dat zelfs ogenschijnlijk legitieme mails over loon of verlof met de nodige voorzichtigheid bekeken moeten worden. Zeker wanneer ze vragen om persoonlijke gegevens te bevestigen, documenten te openen of – zoals in het geval van Mathieu Michel - rekeningnummers te wijzigen.

Interessant: De 5 meest onmisbare jobs in cybersecurity

(William Visterin)