Các nhà nghiên cứu an ninh mạng từ Cloudflare phát hiện tin tặc đang lạm dụng dịch vụ “bọc link” (link wrapping) của Proofpoint và Intermedia để vượt qua các biện pháp bảo vệ email, tạo ra những email lừa đảo thuyết phục và cuối cùng đánh cắp thông tin đăng nhập Microsoft 365 của người dùng. Chiến dịch tấn công này đã được quan sát trong ít nhất hai tháng qua.
Dịch vụ bọc link của Proofpoint, được gọi là URL Defense, bảo vệ người dùng bằng cách viết lại mọi liên kết email đến để định tuyến qua cổng kiểm tra của Proofpoint trước khi đến người nhận thực sự. Khi một người nhấp vào liên kết trong email, nó sẽ được đánh giá theo thời gian thực (bao gồm kiểm tra danh tiếng và sandbox detonation) và chỉ được cấp quyền truy cập nếu liên kết được coi là an toàn.
Tuy nhiên, tất cả các URL gốc đều được nhúng trong liên kết được mã hóa đã viết lại (thường có tiền tố “urldefense.proofpoint.com”), điều này tạo ra cảm giác an toàn với người nhận, khiến họ có nhiều khả năng thực sự nhấp vào nó hơn.
Tin tặc đã được phát hiện tạo ra các trang đích hoàn toàn mới bắt chước màn hình đăng nhập Microsoft 365, và do đó chưa bị các sản phẩm bảo mật gắn cờ. Sau đó họ rút ngắn URL đến các trang này bằng các dịch vụ rút ngắn URL phổ biến như Bitly. Bước tiếp theo là xâm nhập vào các tài khoản email đã được Proofpoint bảo vệ và sử dụng chúng để bọc URL đã rút ngắn.
Bước cuối cùng là phân phối URL đã rút ngắn và được bọc, thường thông qua chính những tài khoản email đã bị xâm phạm trước đó.
Cloudflare cho biết họ đã thấy nhiều cuộc tấn công, với tin tặc gửi email thông báo thư thoại giả và tài liệu Microsoft Teams được chia sẻ giả. Các nạn nhân không phát hiện ra cuộc tấn công sẽ trải qua một chuỗi chuyển hướng, cuối cùng đến một trang nơi họ được yêu cầu cung cấp thông tin đăng nhập Microsoft 365.
Theo nguyên tắc chung, các liên kết trong email nên được xem xét cẩn thận trước khi nhấp, đặc biệt nếu email mang theo cảm giác khẩn cấp.