Cybercriminelen blijven nieuwe manieren vinden om beveiligingsfilters te omzeilen en slachtoffers te misleiden. De nieuwste methode richt zich op een onverwachte hoek van het Google-ecosysteem: Google Tasks. Door misbruik te maken van deze ogenschijnlijk onschuldige productiviteitstool proberen aanvallers werknemers te verleiden hun bedrijfsinloggegevens prijs te geven.
Phishingaanvallen maken al langer gebruik van legitieme platforms om betrouwbaarder over te komen. Wanneer aanvallers toegang krijgen tot diensten zoals SharePoint of andere cloudomgevingen, gebruiken zij die infrastructuur om frauduleuze berichten te verspreiden. Lukt dat niet, dan kiezen ze vaak gratis online diensten om meldingen te versturen. Google-diensten blijken daarbij bijzonder aantrekkelijk, omdat berichten afkomstig van een officieel @google.com-adres zelden worden geblokkeerd door spamfilters.
Bedrijfsgegevens
Bij deze nieuwe aanval ontvangt het slachtoffer een ogenschijnlijk legitieme melding van Google Tasks met de boodschap: “You have a new task”. Het bericht lijkt afkomstig van een interne bedrijfsworkflow en suggereert dat de organisatie een nieuw taken- of verificatiesysteem gebruikt.
De taak bevat meestal een dringend verzoek om een formulier in te vullen voor een zogenaamde werknemersverificatie. Om twijfel te voorkomen, voegen aanvallers vaak een korte deadline toe en markeren zij de taak als ‘hoge prioriteit’. Zo wordt druk gecreëerd om snel te handelen zonder kritisch na te denken.
Externe website
Wie op de link klikt, wordt doorgestuurd naar een externe website die eruitziet als een zakelijke verificatiepagina. Daar wordt gevraagd om bedrijfsinloggegevens in te voeren om de “werknemersstatus te bevestigen”. In werkelijkheid worden deze gegevens direct onderschept door de aanvallers, die vervolgens toegang kunnen krijgen tot bedrijfsnetwerken, e-mailaccounts of interne systemen.
Vertrouwen als zwakke schakel
Het succes van deze phishingmethode ligt vooral in het misbruik van vertrouwen. Omdat de melding via een officiële Google-dienst wordt verzonden, lijkt deze authentiek. Veel medewerkers zijn bovendien gewend aan digitale workflows en nieuwe tools, waardoor een onverwachte notificatie minder snel argwaan wekt.
Belang van duidelijke interne afspraken
Volgens cybersecurityspecialisten ligt de oplossing daarom niet alleen in technische bescherming, maar ook in duidelijke interne afspraken. Bedrijven doen er goed aan helder vast te leggen welke digitale tools officieel worden gebruikt en wie verantwoordelijk is voor communicatie via die platforms. Een interne lijst met goedgekeurde diensten kan werknemers helpen verdachte meldingen sneller te herkennen.
Daarnaast blijft een basisregel essentieel: bedrijfsgegevens mogen uitsluitend worden ingevoerd op interne, gecontroleerde systemen.
Technische en organisatorische bescherming
Naast bewustwording spelen technische maatregelen een belangrijke rol. Beveiligde e-mailgateways kunnen het aantal verdachte berichten verminderen, terwijl endpointbeveiliging phishingwebsites kan blokkeren, zelfs als een medewerker op een link klikt.
De opkomst van phishing via Google Tasks laat zien dat cybercriminelen steeds slimmer gebruikmaken van vertrouwde digitale omgevingen. Niet de technologie zelf vormt het probleem, maar de manier waarop vertrouwen wordt uitgebuit. Voor organisaties betekent dit dat cyberveiligheid steeds meer draait om een combinatie van technologie, training en duidelijke digitale discipline.