Cybercriminelen misbruiken legitieme accounts om vertrouwen te winnen

Cybercriminelen gebruiken steeds vaker platformen van bekende bedrijven om phishing-aanvallen geloofwaardiger te maken. Zo blijkt bijvoorbeeld uit onderzoek van het Threat Research-team van KnowBe4 dat het aantal phishing-aanvallen via de boekhoudsoftware QuickBooks sinds 1 januari 2025 met 36,5% is gestegen. QuickBooks is een populaire cloudgebaseerde boekhoudoplossing voor kleine en middelgrote bedrijven, die door veel bedrijven wordt gebruikt voor onder andere facturatie en budgetbeheer.

Volgens Martin Kraemer, Security Awareness Advocate bij KnowBe4, en James Dyer, Threat Intelligence Lead bij KnowBe4, maken cybercriminelen gratis accounts aan op QuickBooks en verzenden ze phishing-mails vanaf het officiële domein @intuit.com. Hierdoor zijn de aanvallen lastig te onderscheiden van legitieme communicatie en ze omzeilen bovendien vaak traditionele beveiligingssystemen.

Een wereldwijde trend
Het misbruik van betrouwbare platforms, waar QuickBooks slechts een van de voorbeelden is, maakt deel uit van een bredere, wereldwijde trend. Tussen 1 januari 2022 en 28 februari 2025 is dit type aanvallen wereldwijd met 376,6% toegenomen. In 2025 alleen al is er een stijging van 43,6% ten opzichte van dezelfde periode in 2024. Hoewel deze platforms zelf niet gehackt zijn, weten aanvallers met geautoriseerde accounts gebruik te maken van de gevestigde reputatie van bedrijven om detectie te ontwijken.

“Het is vergelijkbaar met het aanmaken van gratis Gmail- of Hotmail-accounts, maar dan met het voordeel van een vertrouwd merk en een legitiem domein”, legt Dyer uit. “Deze aanpak maakt het zeker voor organisaties die verouderde beveiligingssystemen gebruiken erg lastig om phishingmails te herkennen.”

Lokmiddel
De phishing-mails bootsen vaak legitieme financiële communicatie na, zoals facturen en betalingsbevestigingen. Onderwerpregels als “Factuur 1005 van Coinbase” en “Directe storting - betalingsadvies” worden veelvuldig gebruikt. Daarnaast deden de aanvallers zich in sommige gevallen voor als bekende financiële platforms zoals Coinbase en PayPal.

Een voorbeeld hiervan werd op 12 februari 2025 gedetecteerd door KnowBe4 Defend. De phishing-mail gebruikte het officiële domein van QuickBooks en bevatte een afbeelding van een PayPal-betalingsverzoek met een link naar een phishing-website. Door slechts een afbeelding toe te voegen, werd de tekstgebaseerde detectie van veel beveiligingssystemen omzeild.

Naast phishing via e-mail schakelen cybercriminelen soms over op vishing (voice phishing). In de mails worden slachtoffers aangemoedigd om een gratis internationaal nummer te bellen, zogenaamd voor klantenservice van QuickBooks. Tijdens deze telefoongesprekken proberen de aanvallers toegang te krijgen tot inloggegevens of slachtoffers over te halen om frauduleuze betalingen te doen. Door de communicatie telefonisch te doen, omzeilen de aanvallers de beveiligingsfilters voor e-mails.

Geïntegreerde aanpak
Om deze geavanceerde aanvallen effectief te bestrijden, adviseert KnowBe4 een tweeledige aanpak. Enerzijds is het essentieel om anti-phishing-technologieën te gebruiken die verder gaan dan enkel domeinreputatie of NLP (Natural Language Processing). Anderzijds moeten organisaties hun medewerkers trainen om verdachte e-mails te herkennen, zelfs als deze van een vertrouwd domein lijken te komen.

Met de sterke groei van phishing via legitieme platforms benadrukken Kraemer en Dyer het belang van continue security awareness training en geavanceerde detectiemethoden. “Cybercriminelen blijven hun technieken verfijnen”, waarschuwt Kraemer. “Alleen een combinatie van slimme technologie en goed getrainde medewerkers kan deze dreiging effectief tegengaan."