Cyberkriminelle nutzen derzeit vertrauenswürdige Link-Wrapping-Dienste aus, um Anmeldedaten für Microsoft 365 zu stehlen. Funktionen von Proofpoint und Intermedia wurden dabei verwendet, um Phishing-Links hinter scheinbar legitimen URLs zu verbergen.
So wurde das Vertrauen ausgenutzt
Zwischen Juni und Juli 2025 kompromittierten Angreifer E-Mail-Konten mit aktivem Link-Wrapping. Sie fügten manipulierte URLs ein, die zunächst mit Diensten wie Bitly gekürzt wurden. Diese wurden anschließend automatisch in vertrauenswürdige Domains umgewandelt.
Beim Klicken leiteten die Links über Server von Proofpoint oder Intermedia weiter, bevor sie zu gefälschten Microsoft-365-Anmeldeseiten führten. Nutzer hielten die Links aufgrund der vertrauenswürdigen Domains für sicher.
Verschleierungstechniken im Einsatz
Die Angreifer setzten mehrere Ebenen der Obfuskation ein:
- Sie kürzten bösartige Links mit Bitly oder ähnlichen Diensten
- Die kompromittierten E-Mail-Konten wendeten automatisch Link-Wrapping an
- So entstanden mehrstufige Weiterleitungen, die Scans verzögerten oder umgingen
Cloudflare bezeichnet diese Technik als multi-tier redirect abuse.
Wie die Opfer hereingelegt wurden
Die E-Mails gaben sich als Voicemail-Benachrichtigungen oder Microsoft-Teams-Nachrichten aus. Empfänger wurden aufgefordert, eine Nachricht oder ein Dokument anzusehen, und landeten auf gefälschten Login-Seiten. Durch die Wrapped-Domain wirkte der Link legitim und harmlos.
Warum diese Methode so effektiv ist
Diese Angriffe nutzen das Vertrauen in gängige Sicherheitstools aus. Sicherheitslösungen werten von bekannten Anbietern gewrappte Links oft automatisch als ungefährlich. Nutzer erhalten weniger Warnungen und klicken eher.
Selbst geschützte Konten wurden kompromittiert – die Angreifer nutzten bestehende Infrastruktur, um Anmeldedaten abzugreifen.
Sicherheitsempfehlungen
Organisationen sollten folgende Maßnahmen ergreifen:
- Verdächtige Aktivitäten bei geschützten Konten überwachen
- Kurzlinks innerhalb von Wrapped-URLs kennzeichnen
- Domains von Link-Wrapping-Diensten bei Missbrauch blockieren
- Multi-Faktor-Authentifizierung verpflichtend einführen
- Mitarbeitende für Risiken auch bei vermeintlich sicheren Links sensibilisieren
Größere Auswirkungen
Diese Kampagne zeigt, wie Angreifer selbst Sicherheitstools als Angriffsvektor nutzen können. Link-Wrapping-Dienste sollen vor Bedrohungen schützen, können aber missbraucht werden. Cloud-Anbieter, Sicherheitsforscher und CISOs müssen ihre Vertrauensmodelle und Erkennungsmechanismen überdenken.
Fazit
Durch den Missbrauch von Microsoft-365-Link-Wrapping-Diensten konnten Angreifer Phishing-Links hinter vertrauenswürdigen Domains verbergen. Diese raffinierte Methode erhöhte die Klickrate und führte zu gestohlenen Zugangsdaten. Unternehmen sollten ihre Link-Überwachung verbessern, E-Mail-Sicherheitsregeln anpassen und Mitarbeitende gezielt schulen.
0 Kommentare zu „Missbrauch von Link-Wrapping stiehlt Microsoft 365-Anmeldedaten durch Phishing“