Według nowych badań Cloudflare zamieniły kluczową funkcję bezpieczeństwa e-mail w broń. W kampaniach zaobserwowanych do czerwca i lipca 2025 r. Atakerzy nadużywają usług „owijania linków” firm Proofpoint i Intermedia w celu przebrania ataków phishingowych.
Metoda polega na wysyłaniu złośliwych linków z kompromiowanych kont, które są następnie automatycznie przesyłane przez zaufanego adresu URL przez usługodawcę bezpieczeństwa. Ta taktyka wykorzystuje zaufanie użytkownika do tych marek, dzięki czemu niebezpieczne linki wydają się bezpieczne.
Najwyższym celem jest zwabienie ofiar do udawania stron logowania Microsoft 365 i zebranie swoich poświadczeń, skutecznie przekształcając narzędzie obronne w instrument dla konta. src=”https://winbuzzer.com/wp-content/uploads/2020/07/microsoft-liists-mycrosoft-365.jpg”>
Jak atakujący przekształcają bezpieczeństwo e-mail w broń phishingową
technika w sercu tych kampanii, które są defensywne, aby zaprojektować użytkowników. Opakowanie linków, oferowane przez dostawców bezpieczeństwa, takich jak Proofpoint i Intermedia, działa poprzez przepisanie wszystkich adresów URL w ramach przychodzącego e-maila. Gdy użytkownik kliknie link, najpierw zostaje przekroczony przez usługi skanowania dostawcy, która sprawdza miejsce docelowe zagrożeń w czasie rzeczywistym, zanim pozwoli użytkownikowi kontynuować.
Jednak napastnicy znaleźli sposób na przekształcenie tej tarczy w miecz. Rdzeń exploita, jako angażuje się w wersję pocztą pocztą elektroniczną do wiadomości pocztowej do wiadomości pocztowej do wiadomości e-mail do dostępu do Konto, które jest już chronione przez jedną z tych usług. W środku aktorzy zagrożenia mogą „prać” swoje złośliwe adresy URL.
Po prostu wysyłają nowy e-mail phishing z naruszenia konta. Gdy e-mail przechodzi przez własną infrastrukturę bezpieczeństwa organizacji, usługa pakowania linków automatycznie przepisuje złośliwy adres URL, wytwarzając ją własną zaufaną domeną. W niektórych przypadkach napastnicy stosują to, co badacze nazywają „wielopoziomowym przekierowaniem nadużycia”, najpierw ukrywając ładunek za skracacz URL, aby dodać kolejną warstwę zaciemniania, zanim zostanie owinięta.
Stwarza to niebezpieczny scenariusz, w którym link prowadzący do skłonności do poświadczenia jest zamaskowana przez uzasadniony adres W przypadku użytkownika końcowego link wydaje się być sprawdzony i zatwierdzony przez własnego dostawcę bezpieczeństwa, dramatycznie obniżając podejrzenia i omijając zarówno ludzką kontrolę, jak i konwencjonalne filtry oparte na domenach.
anatomia kampanii: nadużywanie punktów dowodowych i pośrednich
kampanie ukierunkowane zarówno na dowód, jak i przełączanie. Analiza zespołu ds. Bezpieczeństwa e-mail Cloudflare. W atakach nadużywających punktu, podmioty zagrożeń często stosowali wielowarstwową strategię zaciemnienia. Najpierw skróciliby swój złośliwy link za pomocą publicznego skrócenia adresu URL, a następnie wysłali go z naruszenia, chronionego konta. Stworzyło to złożony łańcuch przekierowania-od skrócenia do opakowania punktu dowodowego do ostatecznej strony phishingowej-co jest znacznie trudniejsze dla zautomatyzowanych skanerów bezpieczeństwa.
Przynęty inżynierii społecznej były powszechne, ale skuteczne. Jedna kampania podszywała się pod powiadomienie poczty głosowej, co skłoniło odbiorcę do „słuchania poczty głosowej”. Kolejny udany dokument Microsoft Teams. W obu przypadkach przycisk hiperłączy do skróconego adresu URL, który po kliknięciu rozwiązał uzasadnioną domenę punktów dowodowych przed wylądowaniem ofiary na stronie zbioru poświadczenia Microsoft 365.
Nadużywanie służby Intermedia podążało za podobnym wzorem kompromisu konta. Jedna godna uwagi kampania używała e-maili udawających bezpieczne powiadomienie „Zix” z przyciskiem „Wyświetl bezpieczny dokument”. Hiperłącze było owiniętym przez Intermedia adresem URL, który doprowadził do interesującego miejsca docelowego: uzasadnionej strony na platformie marketingowej stałej kontaktu, w której atakujący wystawili swoją faktyczną stronę phishingową. Inne ataki dotyczące fałszywych dokumentów słownych lub wiadomości zespołów prowadziły bardziej bezpośrednio do stron phishingowych Microsoft.
W takich przypadkach atakujący wykorzystali fakt, że e-maile wysyłane w ramach naruszenia organizacji są z natury zaufane. Naukowcy z Cloudflare zauważyli, że nadużycie w organizacjach chronionych przez Intermedia było szczególnie bezpośrednie, stwierdzając: „Nadużycie linków pośrednich, które zaobserwowaliśmy również na uzyskaniu nieautoryzowanego dostępu do kont e-mail chronionych przez opakowanie linków”. Ten wewnętrzny wzór wysyłania sprawia, że złośliwe e-maile są o wiele bardziej przekonujące i mogą zostać kliknięte.
Szerszy trend uzasadnionej technologii
To wykorzystywanie linków nie jest odosobnionym incydentem, ale częścią szerszego, bardziej niebezpiecznego trendu. Podmioty zagrożone coraz bardziej koopują uzasadnione narzędzia i platformy, aby ominąć ochronę bezpieczeństwa. Ta strategia wykorzystuje wbudowane zaufanie i reputację ustalonych usług. Na przykład
Firma ochroniarska Okta niedawno ostrzegła, że napastnicy używają narzędzia V0 V0 Vercel do natychmiastowego generowania idealnych miejsc phishingowych. Ciso Vercel, Ty Sbano, potwierdził wyzwanie, stwierdzając: „Jak każde potężne narzędzie, V0 może być niewłaściwie wykorzystane. Jest to wyzwanie w całym branży, a w Vercel inwestujemy w systemy i partnerstwa, aby szybko złapać nadużycie…”
Ta broń uzasadnionych narzędzi zmniejsza barierę techniczną dla cyberprzestępczości. Dopasowuje się do ostrzeżeń Microsoftu, że „AI zaczęło obniżyć techniczny pasek podmiotów oszustwa i cyberprzestępczości… ułatwiając i tańsze generowanie wiarygodnych treści dla cyberataków w coraz szybszym tempie.”
Ten wzór był również widoczny w „UNK_SNeakStrike”, która wykorzystywała drużynowe narzędzia Pentesta. wada, która zamieniła Microsoft Copilot w złodzieja danych.
Dlaczego szkolenie użytkowników nie wystarczy
Wzrost tych wyrafinowanych ataków sygnalizuje krytyczny punkt zwrotny dla bezpieczeństwa przedsiębiorstwa. Tradycyjne strategie przeciwphingowe, które opierają się na szkoleniu użytkowników w zakresie podejrzanych linków, stają się niewystarczające. Gdy podróbka jest owinięta uzasadnionym adresem URL, ciężar nie może już spoczywać na użytkowniku.
Konsekwencje są znaczące. Według FTC e-mail był metodą kontaktu dla 25% raportów o oszustwach w 2024 r., W rezultacie