Cybercrimals đã biến tính năng bảo mật email quan trọng thành vũ khí, theo nghiên cứu mới từ Cloudflare. Trong các chiến dịch được quan sát đến đến tháng 6 và tháng 7 năm 2025, những kẻ tấn công đang lạm dụng các liên kết của nhóm”Dịch vụ của các công ty bảo mật ProofPoint và Intermedia để ngụy trang các cuộc tấn công lừa đảo. Chiến thuật này khai thác sự tin tưởng của người dùng đối với các thương hiệu này, làm cho các liên kết nguy hiểm xuất hiện an toàn. src=”https://winbuzzer.com/wp-content/uploads/2020/07/microsoft-lists-microsoft-365.jpg”Gói liên kết, được cung cấp bởi các nhà cung cấp bảo mật như ProofPoint và Intermedia, hoạt động bằng cách viết lại tất cả các URL trong một email đến. Khi người dùng nhấp vào liên kết, trước tiên họ được định tuyến thông qua dịch vụ quét nhà cung cấp, kiểm tra điểm đến cho các mối đe dọa trong thời gian thực trước khi cho phép người dùng tiến hành. Cốt lõi của khai thác, như
Họ chỉ cần gửi một email lừa đảo mới từ tài khoản bị xâm phạm. Khi email đi qua cơ sở hạ tầng bảo mật của tổ chức, dịch vụ gói liên kết sẽ tự động viết lại URL độc hại, đóng dấu nó bằng tên miền đáng tin cậy của riêng nó. Trong một số trường hợp, những kẻ tấn công sử dụng những gì các nhà nghiên cứu gọi là lạm dụng chuyển hướng nhiều tầng,”đầu tiên che giấu trọng tải của họ đằng sau một bộ rút ngắn URL để thêm một lớp obfuscation khác trước khi nó được gói. Đối với người dùng cuối, liên kết dường như đã được cung cấp và phê duyệt bởi nhà cung cấp bảo mật của chính họ, làm giảm đáng kể sự nghi ngờ và bỏ qua cả sự giám sát của con người và các bộ lọc dựa trên miền thông thường. Phân tích nhóm bảo mật email CloudFlare. Trong các cuộc tấn công lạm dụng điểm chứng minh, các diễn viên đe dọa thường xuyên sử dụng chiến lược che giấu nhiều lớp. Trước tiên, họ sẽ rút ngắn liên kết độc hại của họ bằng cách sử dụng trình rút ngắn URL công khai, sau đó gửi nó từ một tài khoản được bảo vệ bằng chứng, được bảo vệ bằng chứng. Điều này đã tạo ra một chuỗi chuyển hướng phức tạp từ bộ rút ngắn đến phần bọc ProofPoint đến trang lừa đảo cuối cùng, điều đó khó hơn đáng kể đối với các máy quét bảo mật tự động để làm sáng tỏ. Các mồi nhử kỹ thuật xã hội là phổ biến nhưng hiệu quả. Một chiến dịch đã mạo danh một thông báo thư thoại, khiến người nhận phải nghe thư thoại.”Một người khác được đặt ra như một tài liệu của Microsoft Teams được chia sẻ. Trong cả hai trường hợp, nút được liên kết với một URL rút ngắn, khi được nhấp, đã được giải quyết thông qua miền ProofPoint hợp pháp trước khi hạ cánh nạn nhân trên trang thu hoạch thông tin xác thực của Microsoft 365. Một chiến dịch đáng chú ý đã sử dụng các email giả vờ là một”Thông báo tin nhắn an toàn của ZIX với nút Xem tài liệu bảo mật”. Siêu liên kết là một URL được bọc trung gian dẫn đến một điểm đến thú vị: một trang hợp pháp trên nền tảng tiếp thị liên lạc liên tục, nơi những kẻ tấn công đã tổ chức trang web lừa đảo thực tế của họ. Các cuộc tấn công khác liên quan đến các tài liệu từ giả hoặc tin nhắn của nhóm đã dẫn trực tiếp hơn đến các trang Microsoft Phishing. Các nhà nghiên cứu của Cloudflare, lưu ý rằng sự lạm dụng trong các tổ chức được bảo vệ ở trung gian đặc biệt trực tiếp, nêu rõ, lạm dụng kết nối liên kết trung gian mà chúng tôi quan sát thấy cũng tập trung vào việc truy cập trái phép vào các tài khoản email được bảo vệ bằng cách gói liên kết.”Mô hình gửi nội bộ này làm cho các email độc hại thuyết phục hơn nhiều và có khả năng được nhấp vào. Các tác nhân đe dọa đang ngày càng hợp tác các công cụ và nền tảng hợp pháp để vượt qua các phòng thủ bảo mật. Chiến lược này thúc đẩy sự tin tưởng và danh tiếng tích hợp của các dịch vụ đã được thiết lập. Vercel sườn Ciso, Ty Sbano, thừa nhận thách thức, nói, giống như bất kỳ công cụ mạnh mẽ nào, V0 có thể bị sử dụng sai. Đây là một thách thức trên toàn ngành, và tại Vercel, chúng tôi đầu tư vào các hệ thống và quan hệ đối tác để bắt nhanh lạm dụng. Nó phù hợp với các cảnh báo từ Microsoft rằng, AI AI đã bắt đầu hạ thấp thanh kỹ thuật cho các diễn viên gian lận và tội phạm mạng, giúp việc tạo ra nội dung đáng tin cậy hơn và rẻ hơn và rẻ hơn. Điều đó đã biến Microsoft Copilot thành một tên trộm dữ liệu. Các chiến lược chống phá hoại truyền thống dựa vào đào tạo người dùng để phát hiện các liên kết đáng ngờ đang trở nên không đủ. Khi giả được bọc trong một URL hợp pháp, gánh nặng không còn có thể nghỉ ngơi cho người dùng. Hậu quả là đáng kể. Theo FTC, email là phương thức liên hệ cho 25% báo cáo gian lận vào năm 2024, dẫn đến
Categories: IT Info