Cybercriminale au transformat o caracteristică cheie de securitate prin e-mail într-o armă, potrivit noilor cercetări de la Cloudflare. În campaniile observate până în iunie și iulie 2025, atacatorii abuzează de serviciile de „înfășurare a legăturilor” ale firmelor de securitate Proofpoint și Intermedia pentru a deghiza atacurile de phishing.
Metoda implică trimiterea de legături rău intenționate din conturile compromise, care sunt apoi rescrise automat cu o adresă URL de încredere de către furnizorul de securitate. Această tactică exploatează încrederea utilizatorului în aceste mărci, ceea ce face ca link-urile periculoase să pară în siguranță.
Scopul final este să atragă victimele să falsifice paginile de conectare Microsoft 365 și să recolteze acreditările lor, transformând efectiv un instrument defensiv într-un instrument pentru preluarea contului.
modul în care atacatorii transformă securitatea e-mailului într-o armă de phishing
Tehnica la inima subvertirii a acestor campanii. Înfășurarea link-urilor, oferită de furnizorii de securitate precum ProofPoint și Intermedia, funcționează rescrierea tuturor adreselor URL din cadrul unui e-mail primit. Când un utilizator face clic pe link, acesta este mai întâi dirijat prin serviciul de scanare al vânzătorului, care verifică destinația pentru amenințări în timp real înainte de a permite utilizatorului să continue.
Cu toate acestea, atacatorii au găsit o modalitate de a transforma acest scut într-o sabie. Nucleul exploatului, ca Analizat de echipa de securitate a Cloudflare
Ei trimit pur și simplu un nou e-mail de phishing din contul compromis. Pe măsură ce e-mailul trece prin intermediul infrastructurii de securitate a organizației, serviciul de ambalare a legăturilor rescrie automat URL-ul rău intenționat, ștampilându-l cu propriul său domeniu de încredere. În unele cazuri, atacatorii folosesc ceea ce cercetătorii numesc „abuzuri redirecționate cu mai multe niveluri”, ascunzându-și mai întâi sarcina utilă în spatele unui scurtat URL pentru a adăuga un alt strat de obuscare înainte de a fi înfășurat.
Acest lucru creează un scenariu periculos în care o legătură care duce la o pagină de remediere a rețelelor de remediere este mascată de o adresă legitică precum Urldefense. Pentru utilizatorul final, legătura pare să fi fost verificată și aprobată de propriul furnizor de securitate, scăzând dramatic suspiciunea și ocolind atât filtrele de scrutin uman, cât și filtrele convenționale bazate pe domeniu.
Anatomia campaniei: abuzul de dovadă și intermediari și intermediari>
campanii care vizează probele, cât și intermediarii, cât și utilizatorii intermediari>
, în timp ce campaniile care vizează dovada, cât și intermediarii, cât și utilizatorii intermediari>
, în timp ce campaniile care vizează dovada, cât și intermediara, cât și utilizatorii intermediari>
, în timp ce campaniile care vizează dovada, cât și intermediara, cât și utilizatorii intermediari. detaliat în analiza echipei de securitate prin e-mail Cloudflare. În atacurile care abuzează de probă, actorii amenințători au folosit frecvent o strategie de obuscare cu mai multe straturi. Mai întâi își vor scurta link-ul rău intenționat folosind un scurtare URL publică, apoi îl vor trimite dintr-un cont compromis, protejat de probă. Acest lucru a creat un lanț complex de redirecționare-de la scurtarea până la înfășurarea probelor până la pagina finală de phishing-care este semnificativ mai greu pentru scanerele de securitate automate să se dezvăluie. O campanie a implicat o notificare a mesageriei vocale, ceea ce a determinat destinatarul să „asculte mesageria vocală”. Un altul a pozat ca un document partajat de echipe Microsoft. În ambele cazuri, butonul a fost hiperlink la o adresă URL scurtată care, atunci când a făcut clic, s-a rezolvat printr-un domeniu legitim de probă înainte de a ateriza victima pe o pagină de recoltare a acreditării Microsoft 365.
Abuzul serviciului Intermedia a urmat un model similar de compromis cont. O campanie notabilă a folosit e-mailuri care se prefac că sunt o notificare a mesajului securizat „ZIX” cu un buton „Vizualizați documentul securizat”. Hyperlink-ul a fost o adresă URL învelită cu intermediar care a dus la o destinație interesantă: o pagină legitimă pe platforma de marketing de contact constant, unde atacatorii și-au pus în scenă site-ul lor de phishing. Alte atacuri care implică documente de cuvinte false sau mesaje de echipe au dus mai direct la paginile de phishing Microsoft.
În aceste cazuri, atacatorii au susținut faptul că e-mailurile trimise de la o organizație compromisă sunt în mod inerent de încredere. Cercetătorii Cloudflare au remarcat că abuzul în cadrul organizațiilor protejate cu intermediar a fost deosebit de direct, afirmând: „Abuzul de ambalare a legăturii intermediare pe care l-am observat, de asemenea, s-a concentrat pe obținerea accesului neautorizat la conturile de e-mail protejate de ambalarea legăturilor.” Acest model intern de trimitere face ca e-mailurile rău intenționate să fie mult mai convingătoare și probabil să fie făcute clic.
O tendință mai largă de a armament tehnologie legitimă
Această exploatare de înfășurare a legăturilor nu este un incident izolat, ci o parte a unei tendințe mai largi, mai periculoase. Actorii amenințați coopând din ce în ce mai mult instrumente și platforme legitime pentru a ocoli apărarea de securitate. Această strategie folosește încrederea și reputația încorporată a serviciilor consacrate.
De exemplu, firma de securitate Okta a avertizat recent că atacatorii foloseau instrumentul V0 AI al lui Vercel pentru a genera instantaneu site-uri de phishing perfect pixel. Ciso, Ty Sbano, a recunoscut provocarea, afirmând: „Ca orice instrument puternic, V0 poate fi utilizat greșit. Aceasta este o provocare la nivelul întregii industrii, iar la Vercel, investim în sisteme și parteneriate pentru a surprinde rapid abuzul…”
Această armă a instrumentelor legitime scade bariera tehnică pentru cybercrime. Se aliniază cu avertismentele de la Microsoft că „AI a început să scadă bara tehnică pentru fraudă și actori cibernetici… făcând mai ușor și mai ieftin să genereze conținut credibil pentru cyberattacks într-un ritm din ce în ce mai rapid.”
Acest model a fost văzut și într-un ritm „UNK_SNEAKYSTRY”defect care a transformat Microsoft Copilot într-un hoț de date.
De ce instruirea utilizatorilor nu mai este suficientă
Creșterea acestor atacuri sofisticate semnalează un punct de cotitură critic pentru securitatea întreprinderii. Strategiile tradiționale anti-phishing care se bazează pe utilizatorii de instruire pentru a observa legăturile suspecte devin insuficiente. Atunci când un fals este înfășurat într-o adresă URL legitimă, povara nu se mai poate sprijini pe utilizator.
Consecințele sunt semnificative. Potrivit FTC, e-mailul a fost metoda de contact pentru 25% din rapoartele de fraudă din 2024, rezultând în Pierderi agregate de 502 miliarde . Acest lucru subliniază daunele financiare cauzate de un phishing eficient.
Experții de securitate susțin că industria trebuie să pivoteze spre apărări tehnice mai rezistente.
cea mai eficientă apărare este să facă din punct de vedere tehnic imposibil pentru un utilizator să se conecteze pe un site fraudulos. Aceasta implică adoptarea unor metode de autentificare rezistente la phishing, care leagă criptografic conectarea unui utilizator la un domeniu legitim, ceea ce face ca acreditările furate să fie inutile pe un site fals.
