Trusselaktører utnytter nå betrodde lenkeinnpakningstjenester for å stjele Microsoft 365-legitimasjon. De har misbrukt funksjoner i Proofpoint og Intermedia til å skjule phishing-lenker bak pålitelige domener.
Slik utnyttet angriperne tilliten
Fra juni til juli 2025 kompromitterte angripere e-postkontoer som brukte aktiv lenkeinnpakning. De la inn ondsinnede lenker, ofte forkortet med tjenester som Bitly, som deretter ble pakket inn av automatikk.
Disse tjenestene omgjorde lenkene til tilsynelatende trygge domener, noe som økte sannsynligheten for at brukere klikket. Når de gjorde det, ble de først sendt via Proofpoint- eller Intermedia-servere før de ble omdirigert til falske Microsoft 365-påloggingssider.
Bruk av tilsløringsteknikker
Angriperne la inn flere lag med obfuskering:
- De brukte URL-forkortere som Bitly.
- De sendte e-postene fra kompromitterte kontoer med aktiv lenkeinnpakning.
- Dette skapte flernivå-videresendinger som omgådde sikkerhetsskanning.
Cloudflare kaller teknikken multi-tier redirect abuse.
Hvordan ofrene ble lurt
E-postene utga seg for å være varsler fra talepost eller Microsoft Teams. Mottakere ble oppfordret til å se en melding eller et dokument, og endte på en falsk påloggingsside. Den innpakkede lenken ga en falsk følelse av trygghet.
Hvorfor angrepet fungerer
Metoden utnytter tilliten til sikkerhetsverktøy. Lenker fra kjente leverandører blir ofte automatisk vurdert som sikre av e-postfiltre. Brukerne mottar færre advarsler og er mer tilbøyelige til å klikke.
Ved å kapre selv beskyttede kontoer, har angriperne brukt legitim infrastruktur til å stjele brukerinformasjon.
Anbefalte tiltak
Organisasjoner bør:
- Overvåke mistenkelig e-postaktivitet fra beskyttede kontoer
- Flagge forkortede lenker som er pakket inn
- Blokkere tilgang til lenkeinnpakningstjenester ved misbruk
- Aktivere tofaktorautentisering
- Lære brukere å være skeptiske, selv til «sikre» lenker
Større konsekvenser
Denne kampanjen viser hvordan sikkerhetsfunksjoner kan bli våpen. Tjenester laget for å beskytte, kan utnyttes av angripere. Skyleverandører, sikkerhetsforskere og CISO-er må vurdere tillitsmodellene sine på nytt.
Konklusjon
Ved å misbruke Microsoft 365-lenkeinnpakningstjenester klarte angripere å skjule phishing-lenker bak betrodde domener. Denne smarte teknikken økte sannsynligheten for at brukere klikket – og førte til datatyveri. Organisasjoner må overvåke lenkebruk nøye, oppdatere sikkerhetsregler og styrke opplæringen av ansatte.
0 svar til “Misbruk av lenkeinnpakning stjeler Microsoft 365-pålogginger via phishing”