Trusselsaktører udnytter nu betroede link-wrapping-tjenester til at stjæle loginoplysninger til Microsoft 365. Funktioner i Proofpoint og Intermedia er blevet misbrugt til at skjule phishing-links bag pålidelige domæner.
Sådan udnyttede angriberne tilliden
Fra juni til juli 2025 kompromitterede angribere e-mailkonti med aktiv link-wrapping. De indsatte ondsindede links, ofte forkortet med tjenester som Bitly. Disse blev derefter automatisk pakket ind og forvandlet til domæner, som modtagere opfattede som sikre.
Når brugerne klikkede på disse links, blev trafikken først sendt via scanningsservere hos Proofpoint eller Intermedia, før de blev omdirigeret til falske Microsoft 365-login-sider.
Sløringsteknikker i brug
Angriberne brugte flere lag af sløring:
- De forkortede oprindelige skadelige links med tjenester som Bitly
- De sendte dem fra kompromitterede konti med aktiv link-wrapping
- Dette skabte flere niveauer af viderestilling, som kunne omgå scanningsforsinkelser
Cloudflare kalder teknikken multi-tier redirect abuse.
Sådan blev ofrene narret
E-mails foregav at være beskeder fra telefonsvarer eller Microsoft Teams. Modtagere blev opfordret til at åbne en besked eller et dokument og landede på en spoofet login-side. Den troværdige, indpakkede URL gjorde brugerne mindre mistænksomme.
Hvorfor metoden virker
Denne metode udnytter den tillid, som brugere og systemer har til sikkerhedsværktøjer. Links pakket ind af kendte leverandører vurderes ofte som sikre. Brugere får færre advarsler og er mere tilbøjelige til at klikke.
Ved at kompromittere beskyttede konti formåede angriberne at bruge legitim infrastruktur til at stjæle loginoplysninger.
Anbefalede modforholdsregler
Organisationer bør:
- Overvåge usædvanlig e-mailaktivitet fra beskyttede konti
- Flagge forkortede links inden i wrapped URLs
- Blokere adgang til link-wrapping-domæner ved misbrug
- Aktivere multifaktorgodkendelse
- Uddanne medarbejdere til at være skeptiske – også overfor “pålidelige” links
Større konsekvenser
Denne kampagne viser, hvordan sikkerhedsfunktioner kan vendes imod os. Tjenester designet til at beskytte mod trusler kan effektivt omdannes til angrebsværktøjer. Cloududbydere, sikkerhedsteams og CISO’er bør revurdere deres tillidsmodeller og detektionslogik.
Konklusion
Ved at misbruge Microsoft 365’s link-wrapping-tjenester lykkedes det angribere at skjule phishing-links bag troværdige domæner. Denne snedige metode øgede antallet af klik og førte til stjålne loginoplysninger. Organisationer bør overvåge linkbrug, opdatere e-mailsikkerhedsregler og fortsætte uddannelse af brugere for at undgå fremtidige angreb.
0 svar til “Misbrug af link-wrapping stjæler Microsoft 365-loginoplysninger via phishing”