In april 2026 werden beveiligingsteams wereldwijd in crisismodus gebracht toen Vercel — een van de meest gebruikte cloudplatforms voor implementatie — een ernstig beveiligingslek bekendmaakte. Het incident, dat voortkwam uit een inbreuk in de toeleveringsketen bij een externe leverancier, zorgde ervoor dat beveiligingsteams zich haastten om alles te onderzoeken wat ook maar enigszins verband hield met de infrastructuur van Vercel.
Veel van die onderzoeken hebben echter mogelijk een cyberbeveiligingsrisico aan het licht gebracht dat volledig los stond van het datalek zelf. Al lang voordat het incident van april 2026 de krantenkoppen haalde, maakten aanvallers op eigen houtje misbruik van het gratis hostingplatform van Vercel als een cruciaal onderdeel van hun aanvalsinfrastructuur, waarbij ze *.vercel.app-subdomeinen gebruikten om phishingcampagnes te voeren waarmee inloggegevens werden verzameld.
INKY deze phishingcampagnes namelijk al sinds december 2025 gedetecteerd en geblokkeerd, maanden voordat het beveiligingslek bij Vercel aan het licht kwam. Uit de meer dan 6.000 geblokkeerde e-mails, gericht op meer dan 2.000 organisaties, kwamen drie verschillende campagneclusters naar voren. Hoewel de aanvallers onafhankelijk van elkaar opereerden en verschillende lokmiddelen gebruikten, hadden ze één opvallende tactiek gemeen: het hosten van pagina’s voor het verzamelen van inloggegevens op gratis *.vercel.app-subdomeinen.
In dit uitgebreide rapport worden alle drie de campagneclusters onder de loep genomen, worden de technieken die erachter schuilgaan uitgelegd en wordt duidelijk gemaakt wat het Vercel-beveiligingslek en deze phishingaanvallen wel — en niet — met elkaar gemeen hebben.
In het kort: overzicht van de aanvalsstroom
Gedetecteerde clusters:drie afzonderlijke phishingcampagnes die allemaal gebruikmaken van de gratis hostingdienst vercel.app als infrastructuur voor het verzamelen van inloggegevens
Aanvalmethoden:misbruik van het Google AppSheet-platform | Gecompromitteerde Microsoft 365-accounts | Verzenddomein dat in handen is van de aanvaller
Nuttige lading:schadelijke links die worden gehost op gratis *.vercel.app-subdomeinen en die leiden naar pagina’s waarop inloggegevens worden verzameld
Doelwitten:‘Spray and pray’ + gerichte spear-phishing gericht op de bouw- en ambachtelijke sector
Aantal INKY e-mails:meer dan 6.283 e-mails geblokkeerd bij meer dan 2.030 organisaties tussen december 2025 en mei 2026
Het beveiligingsincident bij Vercel: achtergrond
In april 2026 maakte Vercel een beveiligingslek bekend dat voortkwam uit een aanval via de toeleveringsketen waarbij Context.ai, een externe leverancier, betrokken was. Volgens Vercel was een medewerker van Context.ai geïnfecteerd met de Lumma Stealer-malware — een veelgebruikte infostealer die vaak via het downloaden van schadelijke software wordt verspreid. Dankzij de malware kon de aanvaller Google Workspace OAuth-tokens stelen van het apparaat van de medewerker.
Met behulp van die tokens kreeg de aanvaller toegang tot de interne systemen van Vercel en wist hij uiteindelijk de omgevingsvariabelen van klanten te bereiken — configuratiegegevens die samen met de geïmplementeerde applicaties waren opgeslagen. Deze variabelen kunnen gevoelige informatie bevatten, zoals API-sleutels, inloggegevens voor databases en tokens van externe diensten. Vercel bevestigde later dat de aanvaller op BreachForums beweerde toegangssleutels voor de database en delen van de broncode te hebben verkregen.
Als onderdeel van zijn reactie heeft Vercel een belangrijke indicator van compromittering (IOC) gepubliceerd in de vorm van een OAuth-applicatie-ID en heeft het samengewerkt met Google Mandiant, GitHub, Microsoft, npm en Socket om het incident te onderzoeken en in te dammen. Het bedrijf verklaarde tevens dat er tijdens de aanval geen npm-pakketten zijn gecompromitteerd.
Waren de phishingcampagnes in dit rapport het gevolg van het datalek?
Nee. Hoewel bij beide Vercel betrokken is, gaat het om twee volstrekt verschillende bedreigingen.
De in dit rapport geanalyseerde phishingcampagnes maakten gebruik van gratis *.vercel.app-subdomeinen als tijdelijke hostinginfrastructuur voor pagina’s waarmee inloggegevens werden verzameld — een functionaliteit die beschikbaar is voor iedereen die een Vercel-account aanmaakt. Bij het beveiligingsincident daarentegen was sprake van ongeoorloofde toegang tot de interne systemen van Vercel via gestolen inloggegevens die waren verkregen tijdens een inbreuk op de toeleveringsketen van een derde partij.
De overlap betreft voornamelijk de timing en de koppeling aan het platform. Beide kwamen in april 2026 in de schijnwerpers te staan en bij beide speelde Vercel in zekere mate een rol. Daardoor kunnen beveiligingsteams die verdachte activiteiten in verband met Vercel onderzoeken, aanwijzingen voor beide bedreigingen tegenkomen. In de onderstaande tabel wordt uitgelegd hoe je onderscheid kunt maken tussen de twee.
| Bedreiging | Belangrijkste IOC | Waar moet je zoeken? |
| Inbreuk op de toeleveringsketen van Vercel | OAuth-app-ID: 110671459871-30f1…apps.googleusercontent.com | Auditlogboeken van Google Workspace |
| Phishingcampagnes (dit rapport) | Afzender varieert + URL: *.vercel.app payload | E-mailbeveiligingsplatform |
Tabel 1: Het onderscheid tussen het Vercel-beveiligingslek en de phishingcampagnes in dit rapport
Drie clusters, één gezamenlijke infrastructuur
INKY drie verschillende phishingclusters INKY die elk afzonderlijk gebruik maakten van gratis *.vercel.app-hosting als infrastructuur voor aanvallen gericht op het verzamelen van inloggegevens. Elk cluster verschilde qua aanpak, lokthema en doelgroep, maar alle leidden de slachtoffers naar dezelfde eindfase: phishingpagina’s die op het platform van Vercel werden gehost.
| Cluster A | Cluster B | Cluster C | |
| Levering | Misbruik van het Google AppSheet-platform | Gecompromitteerde Microsoft 365-accounts | Verzenddomein dat eigendom is van de aanvaller |
| Lure-thema | Opschorting van een Facebook-zakelijk account | Aanbesteding voor bouwproject + vervalste OneDrive-PDF | Belastingdienst (CRA) T4-formulier |
| Auth-resultaat | SPF/DKIM/DMARC geslaagd | SPF/DKIM/DMARC geslaagd | SPF/DKIM/DMARC geslaagd |
| Nuttige lading | *.vercel.app-link in de tekst van de e-mail | *.vercel.app-link in een met een wachtwoord beveiligde PDF | *.vercel.app-link in een PDF-bijlage |
| Verduistering | Tekens met breedte nul in de weergavenaam | Een met een wachtwoord beveiligde PDF kan niet worden gescand | Wachtwoord wordt in de PDF weergegeven; de buitenste PDF is niet versleuteld |
| Actief sinds | december 2025 | mei 2026 | maart 2026 |
Tabel 2: Vergelijking van de drie phishingclusters naast elkaar
Cluster 1: Misbruik van Google AppSheet
De eerste groep maakte misbruik van Google AppSheet, het no-code applicatieplatform van Google, om phishing-e-mails te versturen vanuit de legitieme infrastructuur van Google. Door betrouwbare e-mailverzending te combineren met pagina’s voor het verzamelen van inloggegevens die op Vercel werden gehost, zetten de aanvallers een campagne op die de traditionele e-mailbeveiligingsmaatregelen omzeilt en tegelijkertijd zeer geloofwaardig overkomt bij de ontvangers.
Hoe het werkt
Google AppSheet is een ‘no-code’-applicatieplatform waarmee gebruikers datagestuurde apps kunnen bouwen en geautomatiseerde e-mailmeldingen kunnen activeren. Wanneer een AppSheet-app een melding verstuurt, is de afzender van de e-mail [email protected] — een legitiem adres van de Google-infrastructuur dat door alle AppSheet-klanten wordt gebruikt.
Aanvallers hebben toegang verkregen tot een of meer AppSheet-accounts — waarschijnlijk via ‘credential stuffing’-aanvallen of aankopen op ondergrondse marktplaatsen — en hebben AppSheet zo geconfigureerd dat er op grote schaal phishing-berichten werden verstuurd. Elke e-mail werd verzonden via de eigen infrastructuur van Google en ondertekend met de DKIM-sleutel van Google.
Waarom authenticatie niet als signaal werkt: Aangezien de e-mails daadwerkelijk afkomstig zijn van de infrastructuur van Google, slagen SPF, DKIM en DMARC allemaal voor appsheet.com. Er is geen sprake van spoofing. Daardoor hebben traditionele, op authenticatie gebaseerde beveiligingsmaatregelen voor e-mail weinig reden om de berichten als verdacht te markeren.
De lokroep: opschorting van een Facebook-zakelijk account
Elke e-mail doet zich voor als een Facebook Business-melding, waarin ontvangers worden gewaarschuwd dat hun zakelijke account wordt onderzocht wegens schendingen van het beleid en zal worden geblokkeerd tenzij er onmiddellijk actie wordt ondernomen. De oproep tot actie leidt gebruikers naar een nieuw aangemaakt *.vercel.app-subdomein waarop een pagina staat die inloggegevens verzamelt.
Om nog beter aan detectie te ontkomen, hebben de aanvallers tekens met een breedte van nul (U+200A) tussen de letters in de weergavenaam geplaatst. Wat visueel wordt weergegeven als „Facebook Business“, wordt op byteniveau in feite weergegeven als „Fa cebook Bu si ness“. Deze eenvoudige verduisteringstechniek omzeilt de detectieregels voor exacte overeenkomsten in weergavenamen, terwijl het voor de ontvanger onzichtbaar blijft.
Patroon voor de onderwerpregel
De onderwerpen volgen hetzelfde formaat van bedrijfsnaam + willekeurig alfanumeriek ID dat ook in de bredere AppSheet-campagne wordt gebruikt:
- Valley Cooling & Refrigeration Co. ZV195545707372SGVP
- Westside Eye Center RRPU020121773OTD
- Riverside Charter Academy BE937622771FEE
De willekeurige ID zorgt ervoor dat geen twee e-mails hetzelfde onderwerp hebben, waardoor op handtekeningen gebaseerde onderwerpfilters gedurende de gehele campagne worden omzeild.
Voorbeelden van e-mailheaders
| Koptekstveld | Waarde |
| Van | Fa cebook Bu si ness <[email protected]> |
| Onderwerp | [Ontvangende organisatie] [Willekeurig alfanumeriek ID] |
| DKIM-handtekening | d=appsheet.com (ondertekend door Google) |
| SPF | Sla over |
| DMARC | Sla over |
| URL van de payload | *.vercel.app (uniek per e-mailadres) |
Tabel 3: Voorbeelden van e-mailheaders van de AppSheet/Vercel.app-campagne

Fig. 1: Dagelijks e-mailvolume voor de AppSheet/Vercel.app-campagne (5 april – 4 mei 2026). De bekendmaking van het datalek bij Vercel op 19 april is gemarkeerd. De campagneactiviteit vond plaats vóór de bekendmaking, wat bevestigt dat er geen causaal verband bestaat.

Afb. 2: Phishing-e-mail van AppSheet/Vercel.app weergegeven in een e-mailprogramma: de weergavenaam toont „Facebook Business“, samengesteld uit tekens met een breedte van nul die onzichtbaar zijn voor de ontvanger; het „Reply-To“-adres leidt terug naar [email protected]

Fig. 3: Redenen INKY : alle 6.283 e-mails werden gemarkeerd als „Phishing-inhoud“; 5.283 daarvan werden bovendien gemarkeerd als „Mogelijke vervalsing van afzender“, wat aangeeft dat INKY een discrepantie INKY tussen de weergegeven identiteit van de afzender en de AppSheet-infrastructuur
Cluster B: Gecompromitteerde Microsoft 365-accounts — gericht op de bouwsector
De tweede groep koos voor een andere aanpak. In plaats van misbruik te maken van een legitiem platform om e-mails te versturen, maakten de aanvallers gebruik van gehackte Microsoft 365-accounts van echte bedrijven in de bouwsector. Door betrouwbare afzenderidentiteiten te combineren met branchespecifieke lokberichten en door Vercel gehoste phishingpagina’s, was de campagne zo opgezet dat deze naadloos opging in de dagelijkse zakelijke communicatie.
Hoe het werkt
Dit netwerk maakt gebruik van legitieme, gehackte Microsoft 365-accounts bij echte bedrijven om phishing-e-mails te versturen. Beide geïdentificeerde accounts waren afkomstig van bedrijven in de bouw- en ambachtelijke sector, wat erop wijst dat er doelbewust is ingezet op een branche waar offerteaanvragen van onbekende contactpersonen veel voorkomen en vaak worden verwacht.
Aangezien de e-mails afkomstig zijn van echte, actieve Microsoft 365-accounts met correct geconfigureerde authenticatie, voldoen ze vanzelfsprekend aan de SPF-, DKIM- en DMARC-vereisten. Dit is geen omzeilingstechniek — de berichten doorstaan de authenticatie omdat de verzendende accounts legitiem bevoegd zijn om namens hun organisaties e-mail te versturen.
De lokroep: Aanbesteding voor een bouwproject met een met een wachtwoord beveiligde PDF
Elke e-mail doet zich voor als een formele uitnodiging om in te schrijven op een bouwproject en lijkt afkomstig te zijn van een echte medewerker van een legitiem bedrijf. In het bericht wordt een aanbestedingsdossier beschreven en wordt een wachtwoord verstrekt om de bijgevoegde PDF te openen, waarbij het wachtwoord wordt gepresenteerd als een veiligheidsmaatregel ter bescherming van gevoelige projectinformatie.
Zodra het PDF-bestand met het meegeleverde wachtwoord is geopend, verschijnt er één pagina die is ontworpen om te lijken op een melding van Microsoft OneDrive over het delen van documenten. Op de pagina wordt beweerd dat projectbestanden met de ontvanger zijn gedeeld en wordt deze gevraagd om op de knop „Documenten in OneDrive bekijken“ te klikken. Die knop leidt het slachtoffer naar melody-swgd-com.vercel.app, waar een pagina staat die bedoeld is om inloggegevens te stelen.
Waarom met een wachtwoord beveiligde PDF-bestanden het scannen omzeilen: Veel e-mailbeveiligingstools kunnen met een wachtwoord versleutelde PDF-bijlagen niet controleren zonder toegang tot de decoderingssleutel. Door het phishing-aas in de versleutelde PDF te plaatsen en het wachtwoord uitsluitend in de tekst van de e-mail te vermelden, scheidt de aanvaller de inhoud effectief van de bijlage. Geautomatiseerde scanners stuiten op een onleesbaar bestand, terwijl de ontvanger het gemakkelijk kan openen en de schadelijke inhoud kan bekijken.
Gedeelde infrastructuur wijst op één enkele dader
Beide gehackte accounts — die toebehoren aan verschillende bedrijven in verschillende Amerikaanse staten — verstuurden e-mails die de ontvangers doorverwezen naar dezelfde, door Vercel gehoste phishingpagina: melody-swgd-com.vercel.app. Het hergebruik van identieke infrastructuur wijst er sterk op dat één enkele cybercrimineel beide accounts heeft gehackt en deze parallel heeft beheerd, waarbij hij gebruikmaakte van een gecentraliseerde site voor het verzamelen van inloggegevens ter ondersteuning van de campagne.
Onderzoekers hebben ook een secundaire URL ontdekt die was ingebed in de linkannotaties van een PDF-bestand: biddingsth.github.io/bidders/. Dit wijst erop dat de dader GitHub Pages gebruikte als extra hostingoptie, waarschijnlijk als back-up of als alternatief mechanisme voor het verspreiden van payloads naast Vercel.
Voorbeeld van een e-mailprofiel
| Koptekstveld | Waarde |
| Van | Real employee name <real-employee@[compromised-domain].com> |
| Naar | [Doelonderneming] ontvanger |
| Onderwerp | Aanbesteding — [Bedrijfsnaam] [Projectnummer] |
| Authenticatie | SPF geslaagd, DKIM geslaagd, DMARC geslaagd (echt Microsoft 365-account) |
| Bijlage | Met een wachtwoord beveiligde PDF — [Bedrijf] Project 2026.pdf |
| PDF-wachtwoord | Opgenomen in de tekst van de e-mail |
| PDF-inhoud | Valse OneDrive-melding met een link naar *.vercel.app |
| URL van de payload | melody-swgd-com.vercel.app |
| Secundaire URL | biddingsth.github.io/bidders/ |
Tabel 4: Voorbeeld van een e-mailprofiel van een phishingcampagne via Microsoft 365/Vercel

Fig. 4: Phishing-e-mail uit cluster B: uitnodiging voor een aanbesteding voor een bouwproject, verzonden vanuit een gehackt Microsoft 365-account

Fig. 5: De inhoud van het PDF-bestand na ontsleuteling met het wachtwoord dat in de tekst van de e-mail staat: een vals Microsoft OneDrive-document dat wordt gedeeld met een CTA „Documenten in OneDrive bekijken”, die doorverwijst naar melody-swgd-com.vercel.app

Fig. 6: E-mailvolume van cluster B: twee gehackte Microsoft 365-accounts verstuurden in slechts twee dagen (13-14 mei 2026) 26 e-mails naar 9 organisaties

Fig. 7: Redenen INKY : in alle 26 e-mails is de vlag ‘Beschermd bestand’ geplaatst; er is een phishing-site gedetecteerd bij de afzender carpetplanet.net, wat erop wijst dat INKY de URL van de vercel.app-payload INKY als een bekende phishing-host
Cluster C: Domein in het bezit van de aanvaller — zich voordoen als een belastingdienst van de overheid
Uit de derde cluster blijkt dat aanvallers niet altijd accounts hoeven te kapen of legitieme platforms hoeven te misbruiken om effectieve phishingcampagnes op te zetten. In plaats daarvan heeft deze actor zijn eigen infrastructuur helemaal zelf opgebouwd, waarbij hij gebruikmaakte van een door de aanvaller beheerd domein voor het versturen van e-mails en door Vercel gehoste phishingpagina’s om inloggegevens te verzamelen.
Hoe het werkt
In tegenstelling tot de clusters A en B maakt deze actor geen misbruik van een legitiem platform en maakt hij ook geen gebruik van een gekaapte account. In plaats daarvan heeft hij zijn eigen verzenddomein geregistreerd en geconfigureerd, compleet met SPF-, DKIM- en DMARC-records, om phishing-e-mails te verspreiden waarin hij zich voordoet als de Canada Revenue Agency (CRA).
De afzender wordt weergegeven als „Canada Revenue Agency (CRA)”, terwijl het daadwerkelijke afzenderdomein een door een aanvaller beheerd domein is dat geen enkele band heeft met de Canadese overheid. Aangezien het domein correct is geconfigureerd voor e-mailverificatie, genereren de berichten geldige SPF-, DKIM- en DMARC-controles, ondanks dat ze kwaadaardig zijn.
De lokker: kennisgeving van het T4-belastingformulier
In de e-mail wordt beweerd dat een T4-formulier — een Canadees inkomstenoverzicht — klaar is om te worden gedownload. Aangezien dit samenvalt met het belastingseizoen, is deze lokkertje zeer relevant en geloofwaardig voor Canadese bedrijven en werknemers, die regelmatig berichten over belastingzaken verwachten.
Bij de e-mail is een PDF-bestand bijgevoegd met de naam in de indeling „2025 T4SLIP [referentienummer].pdf“. Hoewel het bestand niet versleuteld is, dient het als opstapje naar de phishing-website en bevat het niet de uiteindelijke payload zelf.
Bij het openen toont de PDF één pagina die lijkt op een beveiligd documentportaal. Er wordt een wachtwoord („2026“) weergegeven en de ontvanger wordt gevraagd een link te volgen om toegang te krijgen tot zijn belastingdocument. Die link leidt gebruikers naar een nieuw aangemaakte phishingpagina die door Vercel wordt gehost op t4slip[reference].vercel.app, waar het proces voor het verzamelen van inloggegevens begint.
Voorbeeld van een e-mailprofiel
| Koptekstveld | Waarde |
| Van de weergavenaam | De Canadese belastingdienst (CRA) |
| Van: adres | network@[attacker-domain].com |
| Onderwerp | Nieuwe e-mail van de Canadese belastingdienst [Ref: XXXXX] |
| Authenticatie | SPF geslaagd, DKIM geslaagd, DMARC geslaagd (het eigen domein van de aanvaller) |
| Bijlage | 2025 T4SLIP [referentienummer].pdf |
| PDF-inhoud | Beveiligd documentportaal met wachtwoord en link |
| URL van de payload | t4slip[referentie].vercel.app |
Tabel 5: Profiel van een phishing-e-mail uit de steekproef van cluster C (domein in handen van de aanvaller)

Fig. 8: Phishing-e-mail uit cluster C waarin de Canada Revenue Agency wordt nagebootst, verzonden vanaf een door de aanvaller geregistreerd domein dat volledig voldoet aan de SPF/DKIM/DMARC-vereisten

Fig. 9: PDF-payload van cluster C — valse pagina voor het veilig delen van bestanden in Microsoft Teams met een link van vercel.app die inloggegevens verzamelt

Fig. 10: Redenen voor INKY bij cluster C. Bij alle vier de e-mails traden alle redenen tegelijkertijd op. De vermelding „Misleading Reply-To” geeft aan dat INKY dat het „Reply-To”-adres afweek van het domein van de afzender — een veelvoorkomend signaal bij phishing waarbij zich iemand voordoet als een overheidsinstantie
MITRE ATT&CK in kaart brengen
De drie clusters hebben een gemeenschappelijke kern van technieken, maar verschillen wat betreft de wijze waarop ze in eerste instantie toegankelijk zijn en worden aangeboden.
| Techniek | ID | Cluster A | Cluster B | Cluster C |
| Phishing | T1566 | Ja | Ja | Ja |
| Link naar spearphishing | T1566.002 | Ja | ||
| Bijlage bij spearphishing | T1566.001 | Ja | Ja | |
| Zich voordoen als | T1036.005 | Ja | Ja | Ja |
| Functies van het podium: Uploaden | T1608.001 | Ja | Ja | Ja |
| Infrastructuur verwerven | T1583 | Ja | Ja | Ja |
| Vertrouwensrelatie / Misbruik van het platform | T1199 | Ja | ||
| Verborgen bestanden of informatie | T1027 | Ja | Ja | |
| Versleuteld/gecodeerd bestand | T1027.013 | Ja | ||
| Compromitterde accounts: E-mail | T1586.002 | Ja | ||
| Geldige accounts | T1078 | Ja | ||
| Accounts aanmaken | T1585 | Ja | ||
| Uitvoering door gebruiker: schadelijk bestand | T1204.002 | Ja | Ja |
Tabel 6: Toewijzing van MITRE ATT&CK-technieken aan alle drie de clusters
Alle drie de clusters komen samen op T1608.001 (Functies: malware uploaden) — waarbij ze gebruikmaken van het gratis hostingpakket van Vercel als wegwerpbare infrastructuur voor het verzamelen van inloggegevens. Deze convergentie tussen onafhankelijk opererende cybercriminelen wijst erop dat vercel.app een algemeen erkend standaardproduct is geworden in het phishing-ecosysteem: vrij beschikbaar, direct inzetbaar, TLS-gevalideerd en gehost op een domein met een uitstekende reputatie.
Waarom traditionele beveiligingsmaatregelen tekortschieten
Op het eerste gezicht lijken deze drie campagnes heel verschillend. De ene maakt misbruik van de infrastructuur van Google, de andere maakt gebruik van gehackte Microsoft 365-accounts en de derde maakt gebruik van door aanvallers gecontroleerde domeinen. Toch slagen alle drie erin om veel van de controles te omzeilen waarop organisaties traditioneel vertrouwen om phishing-e-mails te herkennen. De rode draad is dat ze misbruik maken van het vertrouwen in geauthenticeerde afzenders, gerenommeerde platforms en vertrouwde zakelijke werkprocessen.
- Geldige SPF, DKIM en DMARC in alle drie de clusters: elke verzendmethode levert correcte authenticatieresultaten op. Cluster A voldoet aan de eisen omdat de e-mail daadwerkelijk afkomstig is van de infrastructuur van Google. Cluster B voldoet aan de eisen omdat de afzender een legitiem, actief Microsoft 365-account is. Cluster C voldoet aan de eisen omdat de aanvaller de e-mailauthenticatie op zijn eigen domein correct heeft geconfigureerd. In alle drie de gevallen controleert de authenticatie de infrastructuur van de afzender, niet de intentie van de afzender.
- Reputatie als betrouwbare afzender: De AppSheet-campagne profiteert van de sterke reputatie van [email protected], dat regelmatig legitieme meldingen namens Google verstuurt. De gehackte Microsoft 365-accounts nemen de reputatie over van de organisaties waartoe ze behoren. Daardoor biedt op reputatie gebaseerde filtering weinig bescherming tegen deze aanvallen.
- Payloads die op een vertrouwd platform worden gehost: Alle drie de clusters leiden slachtoffers naar phishingpagina’s die worden gehost op subdomeinen van *.vercel.app. Aangezien Vercel een legitiem en veelgebruikt ontwikkelplatform is, is het mogelijk dat sommige beveiligingsmaatregelen de subdomeinen ervan minder streng controleren. De phishingpagina’s worden bovendien via HTTPS aangeboden met behulp van geldige certificaten, wat de schijn van legitimiteit nog verder versterkt.
- Versleutelde bijlagen beperken de zichtbaarheid: in cluster B is de phishinglink verwerkt in een met een wachtwoord beveiligde PDF-bijlage. Zonder de decoderingssleutel kunnen geautomatiseerde scantools de inhoud van het bestand niet controleren. Als de beveiligingsoplossing niet ook de context van de e-mail analyseert, blijft de phishing-payload aan controle onttrokken.
- Het verbergen van de weergavenaam omzeilt de regels voor naamvergelijking: in cluster A hebben aanvallers tekens met een breedte van nul ingevoegd in de weergavenaam „Facebook Business“. Hoewel deze tekens onzichtbaar zijn voor ontvangers, wijzigen ze de onderliggende tekst voldoende om de detectieregels op basis van exacte overeenkomsten en deelstrings te omzeilen, waardoor de phishing-e-mail eenvoudige filtertechnieken kan ontwijken.
Hoe INKY ze INKY
De gedrags- en generatieve AI-analyse INKYbeoordeelde de volledige context van elke e-mail, in plaats van zich op één enkel signaal te baseren:
Cluster A: De combinatie van een bekende, legitieme afzender (AppSheet) met nieuw aangemaakte, nog niet eerder waargenomen *.vercel.app-payloaddomeinen werd als afwijkend gemarkeerd. INKY een discrepantie tussen de vermeende identiteit van de afzender (een zakelijke kennisgeving) en de daadwerkelijke verzendinfrastructuur, en detecteerde phishing-inhoud in de tekst van de e-mail, ondanks de correcte authenticatieresultaten.
Cluster B: De generatieve AI INKYlas de met een wachtwoord beveiligde PDF-bijlage door — met behulp van het wachtwoord dat in de tekst van de e-mail was vermeld — en identificeerde de daarin verborgen valstrik voor het stelen van inloggegevens. De combinatie van een onderwerp over een aanbesteding voor een bouwproject en een valse OneDrive-bijlage achter een versleutelde PDF werd aangemerkt als phishing-inhoud.
Cluster C: De discrepantie tussen de weergavenaam van de Canada Revenue Agency en een niet-overheidsdomein van de afzender, in combinatie met de *.vercel.app-link in de PDF-bijlage, werd gemarkeerd als phishing-inhoud met een misleidende afzenderidentiteit.
| Cluster | Redenen voor opsporing |
| A — Misbruik van het AppSheet-platform | Phishing-inhoud, mogelijke vervalsing van de afzender, spam-inhoud, afzender die voor het eerst verzendt |
| B — Gecompromitteerde M365-accounts | Phishing-inhoud |
| C — Domein dat eigendom is van de aanvaller | Phishing-inhoud, misleidend ‘Reply-To’-adres |
Tabel 7: Redenen voor INKY per cluster
| IOC-type | Waarde | Cluster |
| E-mailadres van de afzender | [email protected] | A |
| URL-patroon | *.vercel.app (alle clusters) | A, B, C |
| URL | melody-swgd-com.vercel.app | B |
| URL | biddingsth.github.io/bidders/ | B |
| URL-patroon | t4slip[ref].vercel.app | C |
| Onderwerpspatroon | [Naam organisatie] [RANDOM_ALPHANUM_ID] | A |
| Onderwerpspatroon | Aanbesteding — [Bedrijf] [Ref] | B |
| Onderwerpspatroon | Nieuwe e-mail van de Canadese belastingdienst [Ref:] | C |
| Verduistering | U+200A spatie van nulbreedte in de weergavenaam | A |
| Bijlage | Met een wachtwoord beveiligde PDF — inhoud binnenin | B |
| Bijlage | PDF met een link naar vercel.app in de aantekeningen | B, C |
Tabel 8: Indicatoren van compromittering (IOC’s) die verband houden met alle drie de phishingclusters
Best practices: richtlijnen en aanbevelingen
De drie phishingclusters die in dit rapport worden onderzocht, hanteren verschillende tactieken, maar hebben één gemeenschappelijk doel: misbruik maken van vertrouwde infrastructuur en vertrouwde bedrijfsprocessen om inloggegevens te stelen. De onderstaande aanbevelingen kunnen beveiligingsteams en eindgebruikers helpen om hun kwetsbaarheid voor deze aanvallen te verminderen en verdachte activiteiten te herkennen voordat inloggegevens in verkeerde handen vallen.
Voor beveiligingsteams
- Zorg ervoor dat multifactorauthenticatie (MFA) wordt toegepast op alle Microsoft 365- en Google Workspace-accounts.
Cluster B laat zien dat gehackte accounts met geldige authenticatie tot de moeilijkst te detecteren aanvallen op e-mailniveau behoren. MFA voorkomt dat accounts worden overgenomen, zelfs wanneer inloggegevens zijn gestolen of op de zwarte markt zijn gekocht. Phishingbestendige MFA (FIDO2/passkeys) biedt de sterkste bescherming tegen aanvallen waarbij inloggegevens worden gestolen.
E-mails waarbij het veld ‘Aan’ leeg is of het adres van de afzender zelf bevat, in combinatie met ongebruikelijke verzendpatronen (bulkverzendingen, nieuwe ontvangersdomeinen), kunnen wijzen op een accountkaping. Zorg ervoor dat MFA voor alle Microsoft 365- en Google Workspace-accounts wordt toegepast.
- Controleer Microsoft 365-accounts op aanwijzingen dat er sprake is geweest van een inbreuk.
Na het overnemen van een account stellen aanvallers vaak doorstuurregels voor de inbox in, versturen ze massaal e-mails naar onbekende ontvangersdomeinen en loggen ze in vanaf onbekende locaties. Controleer de auditlogboeken van Microsoft 365 op deze patronen, met name voor accounts in sectoren die regelmatig documenten uitwisselen met externe contacten — bouw, logistiek, financiële dienstverlening — die het belangrijkste doelwit vormen voor de lokaanbieding in Cluster B.
- Pas gedragscontext toe op e-mails van betrouwbare SaaS-platforms.
Authenticatieresultaten alleen zijn niet voldoende om misbruik van het platform te signaleren. Een e-mail van een legitieme afzender zoals Google, Zoom, DocuSign of AppSheet die een link bevat naar een nieuw geregistreerd subdomein of een subdomein in de gratis versie, is een afwijking met een hoge betrouwbaarheid, ongeacht of SPF, DKIM en DMARC worden doorstaan. E-mailbeveiligingstools die de volledige context van het bericht evalueren — het platform van de afzender, de leeftijd van de linkbestemming, het patroon van het onderwerp en een discrepantie in de identiteit van de afzender — bieden detectiemogelijkheden die op regels gebaseerde systemen niet kunnen bieden.
- Wees extra op je hoede bij links met de extensies *.vercel.app en *.netlify.app die afkomstig zijn van onbekende afzenders.
Legitieme productberichten bevatten zelden links naar gratis subdomeinen voor ontwikkelaarshosting. Markeer deze voor nader onderzoek, ongeacht de reputatie van het verzendende domein. Meld ook misbruikte Vercel-implementaties. Vercel neemt meldingen van misbruik in ontvangst via [email protected]. Door de volledige *.vercel.app-URL te vermelden, wordt ervoor gezorgd dat de pagina die inloggegevens verzamelt snel wordt verwijderd.
Als uw organisatie Vercel gebruikt, controleer dan de auditlogboeken van Google Workspace op de IOC van het beveiligingsincident. Zoek naar de OAuth-applicatie-ID (110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com) om vast te stellen of er gebruikers zijn die de gecompromitteerde applicatie hebben geautoriseerd.
Voor e-mailontvangers
- Controleer altijd het daadwerkelijke afzenderadres, niet alleen de weergavenaam.
Een weergavenaam kan willekeurig worden ingesteld — bijvoorbeeld ‘Canada Revenue Agency (CRA)’, ‘Facebook Business’ of ‘Microsoft OneDrive’ — ongeacht wie de e-mail daadwerkelijk verstuurt. Het echte afzenderadres wordt in elke gangbare e-mailclient naast of onder de weergavenaam weergegeven. Legitieme overheidsinstanties in Canada versturen e-mails via gc.ca-domeinen (de CRA gebruikt cra-arc.gc.ca). Facebook verstuurt meldingsmails via facebookmail.com. Elk bericht dat beweert afkomstig te zijn van deze organisaties, maar afkomstig is van een niet-gerelateerd commercieel domein, moet in de eerste plaats als verdacht worden beschouwd.
- Controleer waar de link naartoe leidt voordat je erop klikt.
Beweeg de muis over een link op een desktop of houd de vinger lang op de link op een mobiel apparaat om de daadwerkelijke URL te zien voordat je erop klikt. Een knop met de tekst ‘Documenten bekijken in OneDrive’ of ‘PDF-bestand openen’ die doorverwijst naar een *.vercel.app-, *.netlify.app- of GitHub Pages-subdomein is geen dienst van Microsoft of de overheid. Legitieme platforms hosten hun eigen inlog- en documentpagina’s op hun eigen domeinen.
- Beschouw een met een wachtwoord beveiligde bijlage waarvan het wachtwoord in dezelfde e-mail staat als een waarschuwing.
Als een bijlage ter bescherming van u is versleuteld, zal de afzender het wachtwoord niet in hetzelfde bericht vermelden. Wanneer een wachtwoord in de tekst van de e-mail wordt vermeld, dient de versleuteling uitsluitend om te voorkomen dat geautomatiseerde beveiligingstools de bijlage scannen — niet om u te beschermen. Open dergelijke bijlagen alleen als u via een onafhankelijke controle zeker bent van de identiteit van de afzender.
- Controleer onverwachte verzoeken via officiële kanalen, en niet via links of telefoonnummers in de e-mail.
Als u een ongevraagde uitnodiging tot een aanbesteding, een belastingaanslag of een waarschuwing over de opschorting van uw account ontvangt die u niet had verwacht, ga dan rechtstreeks naar de officiële website van de organisatie door het adres zelf in te typen of bel hen via een nummer dat op die website staat vermeld. Gebruik geen contactgegevens, links of telefoonnummers die in de e-mail worden vermeld — deze kunnen rechtstreeks naar de aanvaller leiden.
- Gratis subdomeinen voor ontwikkelaarshosting vormen geen legitieme bedrijfsinfrastructuur.
Gevestigde organisaties — overheidsinstanties, banken, grote ondernemingen — plaatsen geen officiële documenten, inlogpagina’s of belastingformulieren op gratis ontwikkelaarsplatforms zoals vercel.app of netlify.app. Als een link of pdf je in het kader van een belastingaanslag, factuur of rekeningmelding doorverwijst naar een subdomein op een van deze platforms, is de e-mail vrijwel zeker een poging tot phishing.
- Wees vooral voorzichtig met aanbestedingen in de bouw- en ambachtelijke sector.
Aanvallers in Cluster B richtten zich specifiek op onderaannemers en leveranciers die regelmatig uitnodigingen voor aanbestedingen ontvangen van onbekende contactpersonen. Als u werkzaam bent in de bouw, het vastgoedbeheer of een aanverwante sector, controleer dan elke nieuwe uitnodiging voor een aanbesteding door rechtstreeks contact op te nemen met de hoofdaannemer, voordat u bijlagen opent of inloggegevens invoert.
Laatste gedachten
Het beveiligingsincident bij Vercel zorgde in april 2026 voor veel aandacht voor het platform van Vercel. Wat onderzoekers die op zoek waren naar bedreigingen in verband met Vercel wellicht in hun e-mailbeveiligingswachtrijen hebben aangetroffen, zijn deze drie phishingclusters — campagnes die al maandenlang liepen en die allemaal onafhankelijk van elkaar het gratis hostingpakket van Vercel hadden gekozen als wegwerpinfrastructuur voor het verzamelen van inloggegevens.
Deze samenloop van omstandigheden is geen toeval. *.vercel.app biedt alles wat een phishing-aanstichter nodig heeft van een host voor zijn payload: onmiddellijke implementatie, geen identiteitscontrole, geldige TLS-certificaten, een uitstekende domeinreputatie en eenvoudige rotatie wanneer een subdomein wordt geblokkeerd. Zolang gratis hostingplatforms geen strengere maatregelen tegen misbruik invoeren, blijven ze een aantrekkelijke infrastructuur voor phishingcampagnes in het hele dreigingslandschap.
De diepere les gaat over authenticatie. Alle drie de clusters voldoen aan SPF, DKIM en DMARC. Alle drie maken ze gebruik van echte of legitiem ogende verzendinfrastructuur. De signalen die ertoe doen — afwijkend gedrag, de context van de inhoud, de volledige keten van afzender via link naar pagina — vereisen een analyse die verder gaat dan het controleren van headers. Juist daar biedt op gedrag en AI gebaseerde e-mailbeveiliging detectie die op regels gebaseerde systemen over het hoofd zien.




