Cloudflare, der führende Anbieter im Bereich Connectivity Cloud, hat heute eine neue Analyse seines Threat-Intel-Teams Cloudforce One veröffentlicht. Der Bericht zeigt, wie Angreifer die Link-Wrapping-Funktion von Proofpoint missbrauchen, um unbemerkt auf verschiedene Phishing-Seiten von Microsoft Office 365 umzuleiten.
Phishing war im vergangenen Jahr erneut die häufigste Ursache für Sicherheitsverletzungen und Identitätsdiebstahl. Diese Technik ist besonders gefährlich und effektiv, da Opfer viel eher auf eine vermeintlich “vertrauenswürdige” URL klicken – insbesondere, wenn diese über einen bekannten Sicherheitsanbieter wie Proofpoint kommen.
Wichtige Erkenntnisse des Reports:
- Direktes Wrapping über kompromittierte Konten:
Angreifer kompromittieren E-Mail-Konten innerhalb von Proofpoint-geschützten Organisationen, um Phishing-E-Mails mit bösartigen Links zu versenden. Proofpoint schreibt die Links automatisch um, sodass sie den Anschein legitimer Kommunikation erwecken.
- Mehrstufiger Redirect-Missbrauch:
Angreifer verkürzen zunächst bösartige Links mit einem öffentlichen URL-Shortener, bevor sie diese über Proofpoint-geschützte Konten verschicken. Proofpoint versieht dann die verkürzten Links mit einem eigenen Wrapper – es entsteht eine Umleitungskette, die das eigentliche Ziel verbirgt.
Die von Cloudforce One identifizierte Methode zeigt, wie geschickt Cyberkriminelle bekannte Sicherheitsmechanismen ausnutzen, um Vertrauen zu erwecken und Schutzmaßnahmen zu umgehen. Der vollständige Bericht enthält konkrete Beispiele und eine detaillierte Analyse der Auswirkungen. Der gesamte Report ist hier einsehbar.
