Nieuwe phishing-trend: Cybercriminelen misbruiken legitieme contactformulieren voor effectievere phishing

Utrecht, 6 november 2025 – Onderzoekers van het KnowBe4 Threat Lab hebben een nieuwe en verontrustende phishing-methode aan het licht gebracht. Cybercriminelen blijken in toenemende mate misbruik te maken van legitieme Contact Us- of Afspraak maken-formulieren op bedrijfswebsites om hun aanvallen uit te voeren – zónder dat ze daarvoor eerst een account hoeven te hacken.

Deze techniek, die voor het eerst is waargenomen in september 2025, stelt aanvallers in staat om geautomatiseerde bevestigingsmails van organisaties – met name juridische instanties, banken, verzekeraars of zorginstellingen – te kapen voor hun eigen phishing-campagnes. Omdat deze e-mails afkomstig zijn van legitieme domeinen, slagen ze er moeiteloos in beveiligingscontroles te omzeilen en vertrouwen te wekken bij ontvangers.

“Waar we eerder vooral zagen dat criminelen gebruikmaakten van gecompromitteerde e-mailaccounts, gaat deze nieuwe tactiek een stap verder”, zegt Lucy Gee, Lead Analyst bij KnowBe4 Threat Lab. “Door het misbruiken van bestaande webformulieren kunnen aanvallers phishingmails versturen die alle authenticatiecontroles doorstaan en er volledig betrouwbaar uitzien. Dat maakt detectie nóg lastiger – zowel voor technologie als voor mensen.”

Nieuwe aanvalstactiek maakt phishing geloofwaardiger dan ooit

Volgens KnowBe4 Defend-data is inmiddels meer dan 59% van alle gedetecteerde phishingaanvallen in 2025 afkomstig van gecompromitteerde accounts – een stijging van bijna 35% ten opzichte van vorig jaar. De nieuwe methode via webformulieren betekent echter dat cybercriminelen die stap kunnen overslaan, wat aanvallen nog sneller en breder schaalbaar maakt. In de praktijk volgen ze meestal drie eenvoudige stappen:

Ze registreren een gratis “onmicrosoft”-account en stellen daar de gewenste weergavenaam en contactgegevens in — precies de identiteit die ze willen nabootsen.
Ze maken mailflow-regels aan die automatische bevestigingsmails (zoals “Contact Us”-reacties) rechtstreeks doorsturen naar een vooraf samengestelde distributielijst van slachtoffers.
Ze vullen het online formulier in met het “onmicrosoft”-adres en de malafide contactgegevens (bijvoorbeeld een door de aanvaller gecontroleerd telefoonnummer of e-mail), waardoor de legitieme bevestigingsmail automatisch het startschot wordt van een phishingcampagne.
Een voorbeeld uit het onderzoek toont hoe een aanvaller een Contact Us-formulier van de Bank of Canada gebruikte om zich voor te doen als PayPal. De bevestigingsmail die automatisch werd verstuurd, bevatte een melding over ‘ongebruikelijke activiteit’ en een telefoonnummer dat de ontvanger moest bellen – in werkelijkheid het startpunt van de aanval.

Zero trust cruciaal nu cybercriminelen legitieme systemen kapen

Elk bedrijf dat een webformulier op zijn website aanbiedt, loopt het risico dat dit misbruikt wordt. Het Threat Lab-team van KnowBe4 verwacht dat dit type aanval de komende maanden sterk zal toenemen, omdat cybercriminelen hun tactieken blijven verfijnen om perimeterbeveiliging te omzeilen en hun slachtoffers op steeds slimmere manieren sociaal te manipuleren.

Hoewel het misbruiken van webformulieren een relatief nieuw aanvalstype is, past het binnen een bredere trend waarin cybercriminelen legitieme platforms kapen om te profiteren van hun domeinautoriteit en merkvertrouwen. In toenemende mate – en op grote schaal – kunnen we er niet langer zomaar van uitgaan dat een ogenschijnlijk routinematige e-mail daadwerkelijk afkomstig is van de organisatie die in het afzenderadres vermeld staat.

Daarom is het belangrijker dan ooit om een extra beveiligingslaag toe te voegen die volgens het zero trust-principe werkt, zoals KnowBe4 Defend. Deze benadering analyseert alle elementen van elke inkomende e-mail holistisch om te bepalen of een bericht veilig is – ongeacht of het afkomstig lijkt van een vertrouwd domein of bekend merk. Bovendien kunnen organisaties met realtime dreigingsinformatie medewerkers coachen over de specifieke aanvallen die zij tegenkomen. Zo leren zij social engineering-dreigingen herkennen en kunnen ze de automatische neiging om merkcommunicatie blind te vertrouwen doorbreken. Dat is de beste verdediging voor organisaties om hun mensen, klanten, data en systemen te beschermen, nu phishingcampagnes zich blijven ontwikkelen om zowel technologie als medewerkers te misleiden.

Lees de blog van van het Threat Lab-team van KnowBe4 voor een volledige technische analyse van deze nieuwe phishingmethode.