Фахівці Cloudflare виявили нову фішингову схему, в якій зловмисники використовують маскування посилання (link wrapping), щоб обійти захист електронної пошти та отримати доступ до облікових записів Microsoft 365, пише PCWorld.
Як працює атака: фішинг через “безпечні” посилання
Схема починається з того, що хакери зламують облікові записи користувачів та надсилають електронні листи з короткими посиланнями, створеними за допомогою URL-скорочувачів. Потім такі посилання обробляються службами безпеки — зокрема Proofpoint або Intermedia — які автоматично переписують їх у вигляді “безпечних” URL-адрес, використовуючи перевірені домени.
Саме ці захищені посилання і стають пасткою. Хоча на вигляд вони легітимні, користувача насправді перенаправляють на фальшиві сторінки входу в Microsoft 365. Мета — отримати логін і пароль.
Підроблені теми листів і небезпечні кнопки
Щоб змусити користувача натиснути на посилання, хакери використовують завуальовані теми повідомлень, наприклад:
- “Новий голосовий лист”
- “Безпечний документ для перегляду”
- “Нове повідомлення в Microsoft Teams”
- “Зашифроване повідомлення Zix” (імітація легітимного захищеного сервісу)
У листах також використовуються кнопки на кшталт “Відповісти” або “Переглянути повідомлення”, натискання на які веде на фальшиві форми входу.
Чому ця атака ефективна
Cloudflare попереджає: захист на основі сканування посилань працює лише тоді, коли загроза вже відома системі. Якщо фішингове посилання ще не встигли виявити, користувач потрапляє у пастку, незважаючи на всі системи захисту.
“Link wrapping зазвичай використовується для того, щоб заблокувати небезпечні цілі під час натискання. Але атаки можуть бути успішними, якщо фішингове посилання ще не позначене як загрозливе на момент кліку”, — йдеться у звіті Cloudflare.
Також зазначено, що аналогічна схема вже використовувалась через сервіси на кшталт Google Drive, але тепер атакувальники активно експлуатують саме механізм обгортання посилань.
Що робити компаніям і користувачам
- Не покладатися лише на автоматичне сканування посилань.
- Навчати працівників розпізнавати фішингові теми листів і підозрілі URL.
- Активно оновлювати системи виявлення фішингу та багатофакторну автентифікацію.
- Ніколи не вводити свої облікові дані на сторінках, які виглядають підозріло або мають нетипову URL-адресу.
