- Os bandidos estão usando serviços de embalagem de link para atrair vítimas a clicar
- Os links redirecionam as vítimas para uma página de destino falsa do Microsoft 365
- A campanha está em andamento há pelo menos dois meses
Os cibercriminosos estão abusando do serviço de “embrulho de link” da ProofPoint e Intermedia para ignorar as proteções por e -mail, criar e -mails convincentes de phishing e, finalmente, roubar credenciais do Microsoft 365 das pessoas. Isso está de acordo com pesquisadores de segurança cibernética da Cloudflare, que observam essas campanhas em estado selvagem há pelo menos dois meses.
O Serviço de Links do Proofpoint, conhecido como URL Defense, protege os usuários, reescrevendo todos os links de email de entrada para rota pelo gateway de inspeção do Proofpoint antes de atingir o destinatário real. Quando uma pessoa clica em um link em um email, ela é avaliada em tempo real (incluindo detonação de sandbox e verificações de reputação) e só recebe acesso se o link for considerado seguro.
Mas aqui está o problema: todos os URLs originais são incorporados no link reescrito codificado (geralmente prefixado com “urldefense.proofpoint.com) que, como efeito colateral, cria uma sensação de segurança com os destinatários, tornando mais provável que eles cliquem nele.
Campanha ativa
Os cibercriminosos foram vistos criando novas páginas de destino que imitam a tela de login do Microsoft 365 e, como tal, ainda não são sinalizadas por produtos de segurança. Eles então reduziriam os URLs para essas páginas usando encurtadores populares de URL, como bitly. A próxima etapa é invadir contas de email já protegidas pelo ProofPoint e usá -las para embrulhar o URL reduzido.
A etapa final é distribuir o URL encurtado e embrulhado, geralmente através das mesmas contas de email que foram comprometidas anteriormente.
O Cloudflare diz que já viu vários ataques, com os bandidos enviando e -mails de notificação de voz falsa e documentos de equipes compartilhadas com compartilhamento compartilhado. As vítimas que não identificam o ataque passam por uma cadeia de redirecionamentos, aterrissando em uma página em que solicitam suas credenciais de login do Microsoft 365.
Como regra geral, os links nos emails devem ser cuidadosamente revisados antes de serem clicados, especialmente se os emails tiverem algum senso de urgência com eles.
Fique conectado