Útočníci zneužívají zkracovačů odkazů ke krádeži přístupů do Microsoft 365

Kyberzločinci našli nový způsob, jak obejít ochrany e-mailové komunikace – zneužívají služby pro modifikaci odkazů (link-wrapping) od renomovaných poskytovatelů, jako jsou Proofpoint a Intermedia, a vytvářejí velmi přesvědčivé phishingové kampaně.

Vše začíná tím, že útočníci vytvoří falešnou přihlašovací stránku Microsoft 365, která na první pohled působí důvěryhodně a není ještě zaznamenaná v databázích detekčních nástrojů. URL této stránky zkrátí pomocí nástroje jako Bitly, čímž zakryjí původní adresu.

Získají přístup k již kompromitovanému účtu chráněnému službou Proofpoint URL Defense. Pomocí tohoto účtu zabalí zkrácený odkaz do přepisované podoby (např. urldefense.proofpoint.com/…), což vytvoří dojem, že jde o bezpečný link.

Rozesílají e-maily s těmito odkazy – obvykle ve formě upozornění na hlasovou zprávu nebo sdílený dokument z Microsoft Teams.

Služby jako Proofpoint URL Defense byly navrženy s cílem chránit uživatele tím, že přepíší všechny příchozí odkazy a vyhodnocují jejich bezpečnost v reálném čase. Paradoxně právě tato vrstva ochrany může působit jako falešný signál důvěryhodnosti – uživatel má pocit, že odkaz byl ověřen a schválen. Zároveň přepsaný a zkrácený odkaz zakrývá skutečný cíl – uživatel tedy nevidí, že jde o podvodnou stránku.

Cloudflare potvrzuje, že tyto útoky probíhají již minimálně dva měsíce a stále pokračují. Oběťmi se stávají jak jednotlivci, tak i firemní účty, které útočníci dále zneužívají pro šíření phishingových zpráv. Tyto kampaně se vyznačují vysokou efektivitou, protože obcházejí běžné detekční mechanismy a dokážou se šířit uvnitř již napadených organizací.

Doporučení pro firmy a bezpečnostní týmy:

– Důkladně monitorujte přepisované odkazy ve firemní e-mailové komunikaci.

– Zavádějte pokročilou analýzu odkazů – například sandboxing nejen cílové adresy, ale i celého přesměrování.

– Zvyšujte povědomí uživatelů o tom, že i odkazy s doménami jako proofpoint.com nemusí být bezpečné.

– Využívejte bezpečnostní nástroje, které rozpoznávají phishing i na základě chování a obsahu, nikoli pouze reputace domény.

– Omezujte přístupové oprávnění ke kritickým službám i v Microsoft 365, a aktivujte podmíněný přístup (Conditional Access).

Ochrana přihlašovacích údajů dnes vyžaduje vícevrstvý přístup a kontinuální aktualizaci bezpečnostních strategií – zejména v prostředí cloudových služeb jako Microsoft 365.

Zdroj: techradar.com

Zdroj ilustračního obrázku: vygenerováno pomocí AI