Phishing via contactformulieren
Check Point Research (CPR) heeft een nieuwe phishingcampagne geïdentificeerd onder de naam ZipLine, die zich onderscheidt door het inzetten van contactformulieren op bedrijfswebsites in plaats van conventionele phishingmails. Door gebruik te maken van social engineering en de actuele belangstelling voor AI weet deze aanpak traditionele e-mailfilters te omzeilen, met alle gevolgen van dien voor de beveiliging van bedrijfsnetwerken.
Beeld: designed by Freepik
Volgens Sergey Shykevich, Threat Intelligence Group Manager bij CPR, toont de campagne aan dat organisaties hun blikveld moeten verruimen: 'De ZipLine-campagne is een wake-up call voor elk bedrijf dat denkt dat phishing alleen maar om verdachte links in e-mails gaat.'
Van formulier tot infectie: zo werkt de aanval
In plaats van een verdachte e-mail te sturen, benaderen aanvallers hun doelwit via het contactformulier van de bedrijfswebsite. Ze doen zich voor als potentiële zakenpartner en starten een geloofwaardige communicatie, die meerdere weken kan aanhouden. Pas wanneer er voldoende vertrouwen is opgebouwd, sturen ze een zogenaamd vertrouwelijk ZIP-bestand met een NDA, waarin de MixShell-malware schuilgaat.
Deze malware maakt gebruik van technieken als DNS-tunneling om opdrachten uit te voeren zonder opgemerkt te worden en zich verder in het netwerk te nestelen. De aanval verloopt subtiel, met professionele e-mails, geloofwaardige context en zelfs nagemaakte websites van legitieme bedrijven, zoals UPS of Microsoft.
Kenmerken en impact van ZipLine
De ondezoekers kwamen met een aantal belangrijke bevindingen. Wij zetten ze kort op een rijtje:
Aanval via contactformulieren
In plaats van e-mails gebruiken aanvallers legitieme webformulieren om de eerste stap te zetten, waardoor traditionele e-mailfilters buitenspel staan.
Langdurige social engineering
De infiltratie in organisaties duurt vaak weken, met als resultaat kwaadaardige ZIP-bestanden vermomd als geheimhoudingsverklaringen
Gebruik van geavanceerde malware
MixShell past onder meer DNS-tunneling en HTTP-fallback toe om op afstand commando’s uit te voeren en detectie te vermijden.
Misbruik van AI-hype
In een tweede golf van de campagne doen aanvallers zich voor als interne AI-analisten. Medewerkers krijgen een vragenlijst over de impact van AI op hun werk, zogenaamd op verzoek van het management.
Gerichte sectoren
Vooral Amerikaanse productiebedrijven zijn doelwit, maar ook in Europa en Azië worden sectoren zoals luchtvaart, energie en biotech getroffen.
Risico’s voor bedrijfscontinuïteit
De potentiële gevolgen zijn groot: van diefstal van intellectueel eigendom en ransomware tot verstoringen in de supply chain en overnames van zakelijke accounts.
Nieuwe fase in phishingcampagnes
De ZipLine-aanpak laat zien dat cybercriminelen zich blijven ontwikkelen, met steeds meer focus op geduldige, goed uitgevoerde social engineering. Volgens Shykevich is dit type campagne een blauwdruk voor hoe phishing zich ontwikkelt: “Door alledaagse bedrijfsprocessen, zakelijk vertrouwen en actuele thema’s als AI te combineren, tonen aanvallers aan dat klassieke verdediging alleen niet meer volstaat.”
Adviezen voor preventie
Check Point adviseert organisaties hun beveiligingsstrategie uit te breiden met de volgende maatregelen:
- Breid monitoring uit naar minder traditionele aanvalskanalen zoals contactformulieren en samenwerkingstools.
- Train medewerkers in het herkennen van phishing via meerdere kanalen, vooral binnen inkoop en supply chain.
- Verifieer nieuwe zakelijke contacten via onafhankelijke bronnen, zoals telefoon of LinkedIn.
- Zorg dat beveiligingssoftware ZIP-archieven en bijlagen diepgaand analyseert, inclusief inhoudelijke bestandsscans.
Lees meer
