- Crooks menggunakan layanan pembungkus tautan untuk memikat korban untuk mengklik
- Tautan mengarahkan kembali para korban ke halaman pendaratan Microsoft 365 palsu
- Kampanye telah berlangsung setidaknya selama dua bulan
Penjahat dunia maya menyalahgunakan layanan Proofpoint dan Intermedia “tautan pembungkus” untuk memotong perlindungan email, membuat email phishing yang meyakinkan, dan akhirnya – mencuri kredensial Microsoft 365 People. Ini menurut para peneliti keamanan siber dari Cloudflare, yang telah mengamati kampanye seperti itu di alam liar setidaknya selama dua bulan.
Layanan pembungkus tautan Proofpoint, yang dikenal sebagai URL Defense, melindungi pengguna dengan menulis ulang setiap tautan email masuk untuk merutekan melalui gerbang inspeksi Proofpoint sebelum mencapai penerima yang sebenarnya. Ketika seseorang mengklik tautan dalam email, itu dievaluasi secara real-time (termasuk ledakan kotak pasir dan pemeriksaan reputasi) dan hanya diberikan akses jika tautan dianggap aman.
Tapi inilah tangkapannya: semua URL asli tertanam di dalam tautan penulisan ulang yang dikodekan (biasanya diawali dengan “urldefense.poofpoint.com) yang, sebagai efek samping, menciptakan rasa aman dengan penerima, sehingga lebih mungkin mereka benar-benar akan mengkliknya.
Kampanye Aktif
Penjahat dunia maya terlihat menciptakan halaman arahan baru yang meniru layar login Microsoft 365, dan dengan demikian, belum ditandai oleh produk keamanan. Mereka kemudian akan mempersingkat URL ke halaman -halaman itu menggunakan pemendek URL populer seperti Bitly. Langkah selanjutnya adalah membobol akun email yang sudah dilindungi oleh Proofpoint, dan menggunakannya untuk membungkus URL yang diperpendek.
Langkah terakhir adalah mendistribusikan URL yang dipersingkat dan dibungkus, seringkali melalui akun email yang sama yang dikompromikan sebelumnya.
Cloudflare mengatakan sudah terlihat beberapa serangan, dengan Crooks mengirim email pemberitahuan pesan suara palsu, dan dokumen tim Microsoft bersama palsu. Korban yang tidak melihat serangan itu melalui rantai pengalihan, mendarat di halaman di mana mereka diminta kredensial login Microsoft 365 mereka.
Sebagai aturan praktis, tautan dalam email harus ditinjau dengan cermat sebelum diklik, terutama jika email membawa rasa urgensi dengan mereka.
