Cybercriminals har gjort en viktig e-postsikkerhetsfunksjon til et våpen, ifølge ny forskning fra Cloudflare. I kampanjer observert gjennom juni og juli 2025 misbruker angripere”koblingsinnpakning”-tjenestene til sikkerhetsfirmaer Proofpoint og Intermedia for å skjule phishing-angrep.
Metoden innebærer å sende ondsinnede lenker fra kompromitterte kontoer, som deretter automatisk blir skrevet om med en pålitelig url av sikkerhetsleverandøren. Denne taktikken utnytter brukerens tillit til disse merkene, og får farlige koblinger til å virke trygge.
Det endelige målet er å lokke ofre til å falske Microsoft 365 påloggingssider og høste legitimasjonen deres, og effektivt gjøre et defensivt verktøy til et instrument for kontoovertakelse.
Beskyttere gjør e-postsikkerhet til et phishing-våpen
Teknikken. Koblingsinnpakning, som tilbys av sikkerhetsleverandører som Proofpoint og Intermedia, fungerer ved å omskrive alle nettadresser i en innkommende e-post. Når en bruker klikker på lenken, blir de først ført gjennom leverandørens skanningstjeneste, som sjekker destinasjonen for trusler i sanntid før han lar brukeren fortsette.
Imidlertid har angripere funnet en måte å gjøre dette skjoldet til et sverd. Kjernen i utnyttelsen, som analyse av cloudfles cloudfles clatfles clatfles clatfles clatfles clatfles clatfles clatfles clatfles clatflese clatfles/tackflate-punkter/”TOLEPLE-TOCPE-TOCPEPOURS/”TRUELT=”TOWSLINE. En e-postkonto som allerede er beskyttet av en av disse tjenestene. Når de er inne, kan trusselaktørene”hvitvaske”sine ondsinnede nettadresser.
De sender ganske enkelt en ny phishing-e-post fra den kompromitterte kontoen. Når e-posten går gjennom organisasjonens egen sikkerhetsinfrastruktur, skriver koblingstjenesten automatisk den ondsinnede URL-en, og stemplet den med sitt eget pålitelige domene. I noen tilfeller bruker angripere det forskere kaller”multi-lags omdirigerings misbruk”, først skjuler nyttelasten bak en URL-forkortelse for å legge til et nytt lag med obfuscation før den blir pakket inn.
Dette skaper et farlig scenario der en kobling som fører til et legitimasjonsside. For sluttbrukeren ser det ut til at lenken har blitt overvåket og godkjent av sin egen sikkerhetsleverandør, dramatisk senket mistanken og omgår både menneskelig kontroll og konvensjonelle domenebaserte filtre. analatomi av kampanjen: Misbruker BEKRIFTSPUNKT og Intermedia
Sosialteknikklokkene var vanlige, men effektive. En kampanje etterlignet en telefonsvarervarsling, og fikk mottakeren til å”høre på telefonsvarer.”En annen stilte som et delt Microsoft Teams-dokument. I begge tilfeller hyperkoblet knappen til en forkortet URL som, når den klikkes, løst gjennom et legitimt Proofpoint-domene før du lander offeret på en Microsoft 365-legitimasjonshøstingsside.
Misbruk av Intermedias tjeneste fulgte et lignende kontradkompromiss. En bemerkelsesverdig kampanje brukte e-postmeldinger som later til å være en”Zix”sikker meldingsvarsel med en”Vis sikker dokument”-knapp. Hyperkoblingen var en Intermedia-innpakket URL som førte til et interessant reisemål: en legitim side på den konstante kontaktmarkedsføringsplattformen, der angriperne hadde iscenesatt deres faktiske phishing-nettsted. Andre angrep som involverte falske orddokumenter eller team-meldinger førte mer direkte til Microsoft Phishing-sider.
I disse tilfellene utnyttet angriperne det faktum at e-postmeldinger som ble sendt fra en kompromittert organisasjon, er iboende klarert. Cloudflares forskere bemerket at overgrepet i mellomliggende organisasjoner var spesielt direkte, og sa:”Intermedia-koblingsmisbruket vi observerte fokuserte også på å få uautorisert tilgang til e-postkontoer beskyttet av koblingsinnpakning.”Dette interne sendemønsteret gjør de ondsinnede e-postene langt mer overbevisende og sannsynligvis vil klikkes.
En bredere trend med å våpen legitimt teknologi
Denne koblingsinnnusten er ikke en isolert hendelse, men en del av en bredere, farligere trend. Trusselaktører er i økende grad koopererer legitime verktøy og plattformer for å omgå sikkerhetsforsvaret. Denne strategien utnytter den innebygde tilliten og omdømmet til etablerte tjenester.
For eksempel advarte sikkerhetsfirmaet Okta nylig om at angripere brukte Vercel’s V0 AI-verktøy for å umiddelbart generere pixel-perfekte phishing-nettsteder. Vercel’s Ciso, Ty Sbano, erkjente utfordringen og sa:”Som ethvert kraftig verktøy, kan V0 misbrukes. Dette er en bransjeomfattende utfordring, og hos Vercel investerer vi i systemer og partnerskap for å fange overgrep raskt…”
Denne våpenet av legitime verktøy senker den tekniske barrieren for CyberCrime. Det stemmer overens med advarsler fra Microsoft om at “AI har begynt å senke den tekniske linjen for svindel og nettkrimin gjort Microsoft Copilot til en datatyv.
Hvorfor brukeropplæring ikke lenger er nok
Fremveksten av disse sofistikerte angrepene signaliserer et kritisk vendepunkt for bedriftssikkerhet. Tradisjonelle anti-phishing-strategier som er avhengige av å trene brukere til å oppdage mistenkelige koblinger, blir utilstrekkelige. Når en falsk er pakket inn i en legitim URL, kan byrden ikke lenger hvile på brukeren.
Konsekvensene er betydelige. I følge FTC var e-post metoden for kontakt for 25% av svindelrapporter i 2024, noe Dette understreker den økonomiske skaden forårsaket av effektiv phishing.
Sikkerhetseksperter hevder at industrien må svinge mot mer spenstige tekniske forsvar.
Det mest effektive forsvaret gjør det teknisk umulig for en bruker å logge på et uredelig nettsted. Dette innebærer å ta i bruk phishing-resistente autentiseringsmetoder som kryptografisk binder en brukers pålogging til et legitimt domene, og gjør stjålet legitimasjon ubrukelig på et falskt nettsted.