Kriminelët kibernetikë e kanë shndërruar një veçori kryesore të sigurisë së postës elektronike në një armë, sipas hulumtimeve të reja nga CloudFlare. Në fushatat e vëzhguara deri në qershor dhe korrik 2025, sulmuesit po abuzojnë me shërbimet e”lidhjes së lidhjes”të firmave të sigurisë dhe Intermedia për të maskuar sulmet e phishing. Kjo taktikë shfrytëzon besimin e përdoruesit në këto marka, duke bërë që lidhjet e rrezikshme të duken të sigurta. src=”https://winbuzzer.com/wp-content/uploads/2020/07/microsoft-lists-microsoft-365.jpg”>
si sulmuesit e kthejnë sigurinë e postës elektronike në një armë phishing
Mbështetja e lidhjeve, e ofruar nga shitësit e sigurisë si Proofpoint dhe Intermedia, punon duke rishkruar të gjitha URL-të brenda një emaili në hyrje. Kur një përdorues klikon lidhjen, ata fillimisht drejtohen përmes shërbimit të skanimit të shitësit, i cili kontrollon destinacionin për kërcënime në kohë reale përpara se të lejojë përdoruesin të vazhdojë.
Megjithatë, sulmuesit kanë gjetur një mënyrë për ta kthyer këtë mburojë në shpatë. Thelbi i shfrytëzimit, si e analizuar nga Cloudflare’s Ekipi i Sigurisë
Ata thjesht dërgojnë një email të ri phishing nga llogaria e kompromentuar. Ndërsa emaili kalon përmes infrastrukturës së vetë sigurisë së organizatës, shërbimi i mbështjelljes së lidhjeve rishkruan automatikisht URL-në me qëllim të keq, duke e vulosur atë me fushën e vet të besuar. Në disa raste, sulmuesit përdorin atë që studiuesit e quajnë”abuzim me shumë nivele të ridrejtimit”, së pari duke fshehur ngarkesën e tyre pas një shkurtuesi URL për të shtuar një shtresë tjetër të obfuscation para se të mbështillet. Për përdoruesin përfundimtar, lidhja duket se është verifikuar dhe aprovuar nga ofruesi i tyre i sigurisë, duke ulur në mënyrë dramatike dyshimin dhe duke anashkaluar të dyja kontrollin njerëzor dhe filtrat konvencionale të bazuara në domen. Analiza e Ekipit të Sigurisë së Emailit CloudFlare. Në sulme abuzimi të provës, aktorët e kërcënimit shpesh përdorën një strategji të bllokimit me shumë shtresa. Ata së pari do të shkurtonin lidhjen e tyre me qëllim të keq duke përdorur një shkurtues të URL-së publike, pastaj do ta dërgonin atë nga një llogari e kompromentuar, e mbrojtur nga prova. Kjo krijoi një zinxhir kompleks të ridrejtimit-nga shkurtimi deri në mbështjellësin e provës në faqen përfundimtare të phishing-kjo është dukshëm më e vështirë për skanuesit e automatizuar të sigurisë të zbulohen.
Lures inxhinierike sociale ishin të zakonshme, por efektive. Një fushatë imponoi një njoftim zanor, duke bërë që marrësi të”dëgjojë postën zanore”. Një tjetër pozoi si një dokument i përbashkët i Ekipeve të Microsoft. Në të dy rastet, butoni i lidhur me një URL të shkurtuar e cila, kur klikohej, zgjidhej përmes një domeni të ligjshëm të provës së provës përpara se të zbriste viktimën në një faqe të vjeljes së kredencialeve të Microsoft 365. Një fushatë e dukshme përdori postë elektronike që pretendojnë të jenë një njoftim i sigurt i mesazhit”Zix”me një buton”Shikoni Dokumentin e Sigurt”. Lidhja ishte një URL e mbështjellë me ndërmjetësuese që çoi në një destinacion interesant: një faqe legjitime në platformën e marketingut të kontaktit të vazhdueshëm, ku sulmuesit kishin organizuar vendin e tyre aktual të phishing. Sulme të tjera që përfshijnë dokumente të rreme të fjalëve ose mesazhe të ekipeve çuan më drejtpërdrejt në faqet e Microsoft Phishing. Studiuesit e CloudFlare vunë re se abuzimi brenda organizatave të mbrojtura nga intermedia ishte veçanërisht i drejtpërdrejtë, duke thënë,”Abuzimi i mbështjelljes së lidhjes Intermedia që kemi vërejtur gjithashtu u përqëndrua në fitimin e qasjes së paautorizuar në llogaritë e postës elektronike të mbrojtura nga mbështjellja e lidhjeve”. Ky model i brendshëm i dërgimit i bën emailet me qëllim të keq shumë më bindës dhe ka të ngjarë të klikohen. Aktorët e kërcënimit po bashkë-zgjedhin mjete dhe platforma të ligjshme për të anashkaluar mbrojtjen e sigurisë. Kjo strategji përdor besimin e integruar dhe reputacionin e shërbimeve të krijuara. CISO i Vercel, Ty Sbano, e pranoi sfidën, duke deklaruar,”Si çdo mjet i fuqishëm, V0 mund të keqpërdoret. Kjo është një sfidë e gjerë në industri, dhe në Vercel, ne po investojmë në sisteme dhe partneritete për të kapur abuzimin shpejt…”
Kjo armë e mjeteve legjitime ul barrierën teknike për krime kiberrete. Ai përputhet me paralajmërimet nga Microsoft se”AI ka filluar të ulë shiritin teknik për mashtrim dhe aktorë të krimit në internet… duke e bërë më të lehtë dhe më të lirë të gjenerojë përmbajtje të besueshme për sulme në internet me një normë gjithnjë e më të shpejtë.”E meta që e shndërroi Microsoft Copilot në një hajdut të të dhënave. Strategjitë tradicionale anti-phishing që mbështeten te përdoruesit e trajnimit për të parë lidhjet e dyshimta po bëhen të pamjaftueshme. Kur një false është e mbështjellur në një URL të ligjshme, barra nuk mund të mbështetet më tek përdoruesi.
Pasojat janë të rëndësishme. Sipas FTC, emaili ishte metoda e kontaktit për 25% të raporteve të mashtrimit në vitin 2024, duke rezultuar në
Ekspertët e sigurisë argumentojnë se industria duhet të drejtohet drejt mbrojtjeve teknike më elastike. Kjo përfshin adoptimin e metodave të vërtetimit rezistent ndaj phishing që lidhin kriptografikisht hyrjen e një përdoruesi në një domen të ligjshëm, duke bërë kredencialet e vjedhura të padobishme në një sit të rremë.