האקרים ממנפים כעת את שירות אבטחת הדוא"ל הפופולרי הזה בהתקפותיהם כדי לשלוח קישורים זדוניים במטרה להשתלט על חשבונות משתמשים.
כפי שפורסם על ידי Bleeping Computer, שחקן איום התעלל בתכונת עטיפת הקישור הכלולה בשירותי אבטחת דוא"ל כמו Proofpoint ו- Intermedia על מנת להפנות את המשתמשים לדפי דיוג שנועדו לגנוב אישורי משתמשים, במיוחד כניסות של Microsoft 365.
קמפיין זדוני זה, שנמשך בין יוני ליולי השנה, מינוף את תכונת עטיפת הקישורים בכמה שירותי אבטחת דוא"ל. תכונה זו כותבת את כתובות האתר במייל לאלה עם דומיין מהימן ואז מעבירה אותם דרך שרת סריקה שנועד לחסום כל קישורים המובילים ליעדים זדוניים.
עם זאת, צוות אבטחת הדוא"ל של Cloudflare מצא כי האקר זה הצליח להתפשר על חשבונות דוא"ל מוגנים על ידי Interdia. משם לאחר מכן הם לגיטימציה לכתובות האתר הזדוניות שלהם שאיפשרו להם להשתמש בגישה שלהם לא מורשית כדי להפיץ קישורים 'מכובסים'. החוקרים הצהירו עוד כי התוקפים התעללו גם במערכת על ידי "כולל התעללות מחדש רב-שכבתית עם קיצורי כתובות אתרים באמצעות חשבונות נפגעים."
שחקן האיום שמאחורי הקמפיין הוסיף שכבה של ערפול על ידי קיצור תחילה של הקישורים הזדוניים ואז שלח אותם מחשבון מוגן שעוטף את הקישור אוטומטית. היעדים מרוממים על ידי קבלת התראות קולי מזויפות או מסמכים משותפים לצוותים של מיקרוסופט. בסוף רשת ההפניה נמצא דף דיוג של Microsoft Office 365 האוסף וגונב אישורים.
באחד ממסעות הפרסום של Intermedia שהשתמשו בשירותי עטיפת קישורים כדי להערים על הקורבנות, האקר העביר דוא"ל שטען שהוא הודעת הודעה מאובטחת "ZIX". חלק מהודעות הדוא"ל הללו טענו כי הם יאפשרו למשתמשים להציג מסמך מאובטח ואילו אחרים התחייבו לתקשורת של Microsoft Teams המתייחסת למשתמש להודעה שהתקבלה לאחרונה.
במקום לעשות אחד מהדברים האלה, הדוא"ל המזויף הללו הכיל כתובת אתר עטופה על ידי השירות של אינטרמדיה שהפנה את המשתמשים לדף מזויף שהיה למעשה אתר דיוג. בינתיים, משתמשים שלחצו על כפתור התשובה הובלו לדף שגנב את אישורי הכניסה שלהם.
על ידי התחפשות אתרים זדוניים עם הגנות דוא"ל לגיטימיות אלה, השחקן האיום הגדיל את הסיכוי שקורבן פוטנציאלי עשוי ליפול למלכודת שלהם.
