Wouter Hoeffnagel - 28 augustus 2025

Aanvallers misbruiken contactformulieren voor phishingcampagne

Een nieuwe phishingcampagne met de naam ZipLine maakt gebruik van contactformulieren op bedrijfswebsites om toegang te krijgen tot interne netwerken. In plaats van traditionele phishingmails richten de aanvallers zich op alledaagse communicatiekanalen, waarbij ze social engineering en de huidige aandacht voor AI inzetten om slachtoffers te misleiden. Onderzoekers van Check Point Research (CPR) waarschuwen dat bedrijven, ook in Nederland, hun beveiliging moeten aanpassen aan deze nieuwe aanpak.'

Security

Aanvallers misbruiken contactformulieren voor phishingcampagne image

“De ZipLine-campagne is een wake-up call voor elk bedrijf dat denkt dat phishing alleen maar om verdachte links in e-mails gaat,” aldus Sergey Shykevich, Threat Intelligence Group Manager bij Check Point Research.

Aanvallers doen zich voor als zakenpartners

De criminelen nemen via contactformulieren contact op en presenteren zich als potentiële zakelijke partners. Daarna volgt een zorgvuldig opgebouwde e-mailconversatie, die vaak twee weken duurt. Uiteindelijk sturen ze een zogenaamd geheimhoudingsdocument (NDA) in ZIP-formaat, dat in werkelijkheid de MixShell-malware bevat. Deze malware gebruikt technieken als DNS-tunneling om onopgemerkt opdrachten uit te voeren en zich binnen het netwerk te verspreiden.

De campagne toont hoe geduldige social engineering traditionele verdediging kan omzeilen. Aanvallers besteden dagen of weken aan het opbouwen van geloofwaardige, professionele gesprekken. In sommige gevallen creëren ze zelfs nepwebsites van de bedrijven waarvoor ze zich uitgeven, waarbij ze soms legitieme, in de VS geregistreerde bedrijven nabootsen. Pas nadat ze vertrouwen hebben gewekt, delen ze een bestand met malware.

Enkele bevindingen uit het onderzoek:

Nieuwe aanvalstactiek: Aanvallers gebruiken online contactformulieren om e-mailfilters te omzeilen.
Diepe infiltratie: Ze investeren weken in geloofwaardige zakelijke gesprekken en vragen slachtoffers om geheimhoudingsverklaringen te ondertekenen, als lokmiddel om kwaadaardige ZIP-bestanden te openen.
Geavanceerde malware: MixShell maakt gebruik van DNS-tunneling en HTTP-fallback om onopgemerkt opdrachten uit te voeren en zich verder in het netwerk te nestelen.
Inspelen op AI-hype: Een tweede golf ZipLine-e-mails werd gepresenteerd als interne AI-impactbeoordelingen, zogenaamd aangevraagd door de directie om efficiëntie en kostenbesparingen te evalueren. Medewerkers kregen een vragenlijst over de invloed van AI op hun werkprocessen.

Doelwitten en risico’s

De campagne richt zich voornamelijk op Amerikaanse productiebedrijven, maar ook sectoren in Europa en Azië, zoals lucht- en ruimtevaart, energie en biotech, zijn getroffen. De risico’s omvatten diefstal van intellectueel eigendom, ransomware-aanvallen, frauduleuze overnames van zakelijke accounts en verstoring van toeleveringsketens.

“ZipLine is niet zomaar een phishingcampagne, maar een blauwdruk voor de manier waarop cybercriminelen zich ontwikkelen. Door alledaagse bedrijfsprocessen, zakelijk vertrouwen en de wereldwijde discussie over AI als wapens in te zetten, bewijzen aanvallers dat geduld en social engineering nog steeds tot de meest effectieve middelen behoren om zelfs goed beveiligde organisaties te hacken”, aldus Shykevich.

Ook Nederlandse bedrijven kunnen zich voorbereiden op vergelijkbare dreigingen. Check Point Software deelt de volgende aanbevelingen:

Beschouw ook contactformulieren en samenwerkingstools als potentiële aanvalsvectoren en breidt monitoring uit.
Train medewerkers, vooral in supply chain en inkoop, in het herkennen van multi-channel phishing.
Verifieer nieuwe zakelijke contacten altijd via onafhankelijke bronnen (telefoon, LinkedIn, netwerk).
Zorg dat beveiligingstools ook ZIP-archieven en bijlagen grondig inspecteren.

Tip de redactie