Legitieme webformulieren van bedrijven ingezet voor phishingaanvallen

De methode, die voor het eerst werd waargenomen in september 2025, stelt aanvallers in staat om automatische bevestigingsmails van organisaties – zoals banken, verzekeraars of zorginstellingen – te misbruiken voor hun campagnes. Omdat deze e-mails afkomstig zijn van vertrouwde domeinen, omzeilen ze beveiligingscontroles en wekken ze vertrouwen bij ontvangers.

“Waar we eerder vooral zagen dat criminelen gebruikmaakten van gecompromitteerde e-mailaccounts, gaat deze nieuwe tactiek een stap verder”, zegt Lucy Gee, Lead Analyst bij KnowBe4 Threat Lab. “Door het misbruiken van bestaande webformulieren kunnen aanvallers phishingmails versturen die alle authenticatiecontroles doorstaan en er volledig betrouwbaar uitzien. Dat maakt detectie nóg lastiger – zowel voor technologie als voor mensen.”

Aanval verloopt in drie stappen

Uit de analyse blijkt dat criminelen een eenvoudig patroon volgen. Ze registreren eerst een gratis “onmicrosoft”-account met een valse identiteit, zoals een naam en contactgegevens van een bekend bedrijf. Vervolgens maken ze mailflow-regels aan die automatische bevestigingsmails – bijvoorbeeld reacties op Contact Us-formulieren – doorsturen naar een lijst met slachtoffers. Ten slotte vullen ze het webformulier in met het “onmicrosoft”-adres en malafide contactgegevens, zoals een telefoonnummer of e-mailadres onder controle van de aanvaller. De legitieme bevestigingsmail die volgt, dient als startpunt voor de phishingcampagne.

Een concreet voorbeeld uit het onderzoek toont hoe een aanvaller het Contact Us-formulier van de Bank of Canada gebruikte om zich voor te doen als PayPal. De automatisch verstuurde bevestigingsmail bevatte een waarschuwing over “ongebruikelijke activiteit” en een telefoonnummer dat ontvangers moesten bellen – in werkelijkheid het begin van de aanval.

Risico voor alle bedrijven met webformulieren

Elke organisatie die een online formulier aanbiedt, loopt volgens de onderzoekers risico. De verwachting is dat dit type aanval de komende maanden zal toenemen, omdat criminelen hun methodes blijven aanpassen om beveiligingssystemen te omzeilen en slachtoffers te manipuleren. Het misbruik van webformulieren past in een bredere trend waarbij legitieme platforms worden gekaapt om te profiteren van domeinautoriteit en merkvertrouwen.

De nieuwe methode sluit aan bij een groeiende trend waarin phishingcampagnes technologische en menselijke zwaktes uitbuiten. In 2025 was al 59% van alle gedetecteerde phishingaanvallen afkomstig van gecompromitteerde accounts – een stijging van 35% ten opzichte van 2024. Organisaties wordt geadviseerd om hun beveiligingsprotocollen aan te scherpen en medewerkers te trainen in het herkennen van verdachte communicatie, ook als deze afkomstig lijkt van bekende bronnen. Een technische analyse van de methode is hier te vinden.