I criminali informatici stanno sfruttando i servizi di “link wrapping” offerti da Proofpoint e Intermedia per aggirare le protezioni delle e-mail, creare campagne di phishing convincenti e, in ultima analisi, rubare le credenziali Microsoft 365 delle vittime. A lanciare l’allarme sono i ricercatori di sicurezza informatica di Cloudflare, che monitorano queste attività da almeno due mesi.
Il servizio di link wrapping di Proofpoint, chiamato URL Defense, protegge gli utenti riscrivendo ogni link in entrata nelle e-mail, facendolo passare prima attraverso il gateway di ispezione della piattaforma prima di raggiungere il destinatario finale. Quando si clicca su un link contenuto in un messaggio, questo viene analizzato in tempo reale (inclusa una detonazione in sandbox e controlli di reputazione) e viene consentito l’accesso solo se considerato sicuro.
Il problema, però, è che tutti gli URL originali rimangono incorporati all’interno del link riscritto (di solito con prefisso “urldefense.proofpoint.com”), generando così un effetto collaterale pericoloso: un falso senso di sicurezza nei destinatari, che diventano più inclini a cliccare sul collegamento.
Active campaign
I criminali informatici sono stati osservati mentre creavano nuove pagine di destinazione che imitano la schermata di accesso a Microsoft 365 e che, proprio per la loro novità, non vengono ancora rilevate dai software di sicurezza. Successivamente, abbreviavano gli URL di queste pagine utilizzando servizi molto diffusi come Bitly. Il passo successivo consisteva nell’accedere a caselle email già protette da Proofpoint e utilizzarle per “avvolgere” l’URL abbreviato.
L’ultimo passaggio consiste nella distribuzione dell’URL accorciato e avvolto, spesso attraverso gli stessi account email compromessi in precedenza.
Secondo Cloudflare, sono già stati osservati numerosi attacchi, nei quali i truffatori inviano false notifiche di messaggi vocali o documenti Microsoft Teams condivisi. Le vittime che non riconoscono la truffa vengono reindirizzate più volte fino ad arrivare a una pagina in cui viene richiesto l’accesso a Microsoft 365.
Come regola generale, è sempre bene esaminare con attenzione i link contenuti nelle e-mail prima di cliccarli, soprattutto se il messaggio trasmette un senso di urgenza.