Cybercriminelen hebben een belangrijke e-mailbeveiligingsfunctie in een wapen veranderd, volgens nieuw onderzoek van CloudFlare. In campagnes waargenomen tot en met juni en juli 2025, misbruiken aanvallers de”Link Wurping”Services of Security Firms Proofpoint en Intermedia om phishing-aanvallen te verbergen.
De methode omvat het verzenden van kwaadaardige banden van gecompromitteerde accounts, die vervolgens automatisch worden herschreven met een vertrouwde URL door de beveiligingsprovider. Deze tactiek maakt gebruik van het vertrouwen van de gebruiker in deze merken, waardoor gevaarlijke links veilig lijken.
Het ultieme doel is om slachtoffers te lokken om Microsoft 365-inlogpagina’s te vervalsen en hun referenties te oogsten, waardoor een defensief gereedschap in een instrument voor accountovernames wordt omgezet.
hoe aanvallers e-mailbeveiliging veranderen in een phishing-wapens
De techique in het hart van deze campagnes onder de hart van deze campagnes een verdedigingsmechanisme om te beschermen. Link Wrapping, aangeboden door beveiligingsleveranciers zoals Proofpoint en Intermedia, werkt door alle URL’s te herschrijven in een inkomende e-mail. Wanneer een gebruiker op de link klikt, worden hij eerst door de scanservice van de verkoper gerouteerd, die de bestemming in realtime controleert voordat de gebruiker doorgaat.
, hebben aanvallers echter een manier gevonden om dit schild in een zwaard te veranderen. De kern van de exploit, zoals analysed by Cloudflare’s beveiligingsteam , Betrokken als e-mail Account die al door een van deze diensten wordt beschermd. Eenmaal binnen kunnen de dreigingsacteurs hun kwaadaardige URL’s”witwassen”. Ze sturen eenvoudigweg een nieuwe phishing-e-mail van het gecompromitteerde account. Naarmate de e-mail de eigen beveiligingsinfrastructuur van de organisatie doorbrengt, herschrijft de Link Wrapping Service automatisch de kwaadaardige URL en stempelt deze met een eigen vertrouwde domein. In sommige gevallen gebruiken aanvallers wat onderzoekers’multi-laged omleidingsmisbruik noemen’, eerst hun payload verbergen achter een URL-tekortkomer om nog een laag obfuscatie toe te voegen voordat deze wordt gewikkeld.
Dit creëert een gevaarlijk scenario waarbij een link leidt dat een link leidt naar een credential-Harvesting-pagina wordt gemaskeerd door een legitieme adres zoals urldspoint. Voor de eindgebruiker lijkt de link te zijn doorgelicht en goedgekeurd door hun eigen beveiligingsprovider, waardoor het vermoeden dramatisch wordt verlaagd en zowel menselijke controle als conventionele domeingebaseerde filters omzeilt.
anatomie van de campagne: het misbruik van Proofpoint en intermedia
De campagnes onthullen een methodische en campagnes. De analyse van het e-mailbeveiligingsteam van CloudFlare. In de aanvallen die het Proofpoint misbruiken, gebruikten dreigingsactoren vaak een meerlagige obfuscatiestrategie. Ze zouden eerst hun kwaadaardige link verkorten met behulp van een openbare URL-verkorter en deze vervolgens van een gecompromitteerd, beoogd-beschermde account sturen. Dit creëerde een complexe omleidingsketen-van de verkorter tot de Proofpoint-wrap tot de uiteindelijke phishing-pagina-die voor geautomatiseerde beveiligingsscanners aanzienlijk moeilijker is om te ontrafelen.
De social engineering kunstaas waren gemeenschappelijk maar effectief. Eén campagne zorgde voor een voicemailmelding, waardoor de ontvanger’naar voicemail luistert’. Een ander werd aangeboden als een gedeelde document van Microsoft Teams. In beide gevallen werd de knop hyperlink naar een verkorte URL die, wanneer geklikt, opgelost via een legitiem Proofpoint-domein voordat het slachtoffer op een Microsoft 365-inlogepagina van de referenties wordt geland. Een opmerkelijke campagne gebruikte e-mails die zich voordoen als een”Zix”Secure Message-melding met een knop”Secure Document View Secure Document”. De hyperlink was een door intermedia gewikkelde URL die leidde tot een interessante bestemming: een legitieme pagina op het constante contactmarketingplatform, waar de aanvallers hun werkelijke phishing-site hadden opgevoerd. Andere aanvallen met nep-woorddocumenten of teamberichten leidden meer rechtstreeks naar Microsoft Phishing-pagina’s.
In deze gevallen gebruikten de aanvallers het feit dat e-mails die vanuit een gecompromitteerde organisatie worden verzonden inherent worden vertrouwd. De onderzoekers van Cloudflare merkten op dat het misbruik binnen door intermedia beveiligde organisaties met name direct was en verklaarden:”Het intermedia-link om misbruik te wikkelen dat we hebben waargenomen, was ook gericht op het verkrijgen van ongeautoriseerde toegang tot e-mailaccounts die worden beschermd door Link Wapping.”Dit interne verzendpatroon maakt de kwaadaardige e-mails veel overtuigender en waarschijnlijk worden geklikt.
Een bredere trend van het bewapenen van legitieme tech
Deze link-wrapping-exploit is geen geïsoleerd incident maar onderdeel van een bredere, grotere trend. Dreigingsactoren co-opteren in toenemende mate legitieme tools en platforms om beveiligingsverdedigingen te omzeilen. Deze strategie maakt gebruik van de ingebouwde vertrouwen en reputatie van gevestigde diensten.
bijvoorbeeld, beveiligingsbedrijf Okta waarschuwde onlangs dat aanvallers het V0 AI-tool van Vercel gebruikten om onmiddellijk pixel-perfecte phishing-sites te genereren. Vercel’s CISO, Ty Sbano, erkende de uitdaging en verklaarde:”Zoals elke krachtige tool, kan v0 worden misbruikt. Dit is een brede uitdaging, en bij Vercel investeren we in systemen en partnerschappen om misbruik snel te vangen…”
Deze wapening van legitieme tools lager de technische barrière voor cybercrime. Het sluit aan bij waarschuwingen van Microsoft dat”AI is begonnen met het verlagen van de technische balk voor fraude en cybercriminaliteitsacteurs… waardoor het gemakkelijker en goedkoper wordt om geloofwaardig inhoud te genereren voor cyberaanvallen met een steeds snelle snelheid.”Dat veranderde Microsoft Copilot in een gegevensdief.
Waarom gebruikerstraining niet langer genoeg is
De opkomst van deze verfijnde aanvallen geeft een kritisch keerpunt voor enterprise-beveiliging. Traditionele anti-phishing-strategieën die afhankelijk zijn van het trainen van gebruikers om verdachte links te spotten, worden onvoldoende. Wanneer een nep wordt gewikkeld in een legitieme URL, kan de last niet langer op de gebruiker rusten.
De gevolgen zijn aanzienlijk. According to the FTC, email was the method of contact for 25% of fraud reports in 2024, resulting in aggregate losses of $502 million. Dit onderstreept de financiële schade veroorzaakt door effectieve phishing.
Beveiligingsexperts beweren dat de industrie moet draaien naar meer veerkrachtige technische verdedigingen.
De meest effectieve verdediging maakt het technisch onmogelijk voor een gebruiker om in te loggen bij een frauduleuze site. Dit omvat het gebruik van phishing-resistente authenticatiemethoden die cryptografisch de aanmelding van een gebruiker binden aan een legitiem domein, waardoor gestolen referenties nutteloos worden gemaakt op een nep-site.
