Missbruk av länkinkapsling stjäl Microsoft 365-inloggningar via nätfiske

Angripare utnyttjar nu betrodda länkinkapslingstjänster för att stjäla inloggningsuppgifter till Microsoft 365. Hotaktörer har missbrukat funktioner i Proofpoint och Intermedia för att dölja nätfiskelänkar.

Så utnyttjades betrodda länkar

Under juni och juli 2025 komprometterade angripare e-postkonton som använde aktiv länkinkapsling. De infogade skadliga länkar – ofta förkortade – som sedan automatiskt kapslades in av tjänsterna. Resultatet blev länkar med betrodda domäner, vilket lurade användare att klicka.

När en användare klickade på länken, gick trafiken först via Proofpoints eller Intermedias skanningsservrar, innan den omdirigerades till falska Microsoft 365-inloggningssidor. Användare litade på länkarna eftersom de såg ut att komma från en säker källa.

Använda förvirringstekniker

Angriparna använde flera lager av förvirring:

• De förkortade ursprungliga skadliga länkar med tjänster som Bitly.
• De skickade länkarna från komprometterade konton som automatiskt applicerade länkinkapsling.
• Det skapade flerledade omdirigeringar som kringgick säkerhetsskanning.

Cloudflare har döpt tekniken till multi-tier redirect abuse.

Så lurades offren

E-postmeddelanden låtsades vara röstmeddelanden eller Teams-notifikationer. Mottagare klickade för att se ett meddelande eller dokument, men landade på falska inloggningssidor. Eftersom länkarna bar en betrodd domän såg de legitima ut, vilket minskade misstanken.

Varför attacken fungerar

Metoden bygger på det förtroende som finns för företagssäkerhetsverktyg. Många säkerhetssystem betraktar inkapslade länkar från leverantörer som säkra, vilket minskar varningsnivån. Användare klickar därför oftare.

Genom att kapa skyddade konton kunde angriparna använda legitim infrastruktur för att stjäla uppgifter.

Rekommenderade åtgärder

Organisationer bör:

• Övervaka ovanlig e-postaktivitet från skyddade konton
• Flagga förkortade länkar inom inkapslade URL:er
• Blockera åtkomst till inkapslingstjänster vid missbruk
• Kräva multifaktorautentisering
• Träna användare att ifrågasätta även “säkra” länkar

Större konsekvenser

Den här kampanjen visar hur säkerhetsfunktioner kan vändas mot oss. Tjänster som ska skydda mot hot kan i stället bli en del av attacken. Molnleverantörer och cybersäkerhetsansvariga måste omvärdera sina tillitsmodeller och detektionsmetoder.

Slutsats

Att missbruka Microsoft 365:s länkinkapslingstjänster gjorde det möjligt för angripare att dölja nätfiskelänkar bakom betrodda domäner. Denna smarta metod ökade antalet klick och ledde till stulna inloggningsuppgifter. Organisationer bör skärpa sin övervakning av länkar, uppdatera e-postfilter och fortsätta utbilda personal tills skyddet hinner ikapp.