Cybercriminelen misbruiken Google-platform voor grootschalige phishingaanval

Cybercriminelen misbruiken Google-platform voor grootschalige phishingaanval

02-06-2025 (14:50) - Tech

Onderzoekers van KnowBe4 slaan alarm over een slimme phishingcampagne waarbij oplichters zich voordoen als Meta (Facebook). De criminelen maken gebruik van een legitiem platform van Google, genaamd AppSheet, om hun nepberichten langs spamfilters te loodsen. Op het hoogtepunt kwam ruim 10% van alle geblokkeerde phishingmails wereldwijd van dit platform.

AppSheet is een tool van Google waarmee bedrijven zonder te programmeren apps kunnen bouwen. Juist omdat het een betrouwbaar platform is, kunnen aanvallers het misbruiken om hun phishingmails geloofwaardig te laten lijken. De mails worden verstuurd vanaf het echte domein noreply@appsheet.com, waardoor spamfilters van bijvoorbeeld Microsoft of andere beveiligingssystemen ze vaak gewoon doorlaten.

De phishingmails lijken afkomstig van het ‘Facebook Support Team’ en waarschuwen voor een vermeende schending van de regels, met als dreiging dat het account binnen 24 uur wordt verwijderd. Gebruikers krijgen de optie om bezwaar aan te tekenen via een knop, die leidt naar een nagemaakte inlogpagina van Facebook.

Misleiding

Wat deze aanval zo gevaarlijk maakt, is de combinatie van technische en psychologische trucs. Iedere e-mail bevat een uniek aangemaakt ‘zaaknummer’, waardoor het moeilijk is voor IT-afdelingen om deze berichten te herkennen of tegen te houden. Wie op de knop klikt, komt op een perfect nagemaakte webpagina die gehost wordt op een ander betrouwbaar platform: Vercel. Deze site vraagt om inloggegevens én de 2-staps-verificatiecode (2FA). Wie die invult, krijgt vervolgens een foutmelding en wordt gevraagd het opnieuw te proberen: een truc om te zorgen dat de criminelen de juiste gegevens in handen krijgen.

Op de achtergrond fungeert de site als een ‘man-in-the-middle’: de gegevens worden direct doorgestuurd naar Meta, waardoor de aanvaller live kan meekijken en toegang krijgt tot het echte account, inclusief het omzeilen van de 2FA-beveiliging.

Waarom dit iedereen aangaat

Deze aanval is geen incident. Het past in een bredere trend waarbij cybercriminelen bewust gebruikmaken van betrouwbare platforms en bekende merken om mensen te misleiden. Eerder zagen onderzoekers al vergelijkbare aanvallen via diensten van Microsoft, Google, QuickBooks en Telegram.

"Phishingmails zijn tegenwoordig zó goed nagemaakt dat zelfs de meest oplettende gebruiker erin kan trappen," waarschuwt het team van KnowBe4 Threat Labs. "Alleen vertrouwen op techniek is niet meer genoeg. Het is cruciaal dat medewerkers getraind worden in het herkennen van deze nieuwe generatie phishingaanvallen."