Фахівці Cloudflare виявили нову фішингову схему, в якій зловмисники використовують маскування посилання (link wrapping), щоб обійти захист електронної пошти та отримати доступ до облікових записів Microsoft 365, пише PCWorld.

Схема починається з того, що хакери зламують облікові записи користувачів та надсилають електронні листи з короткими посиланнями, створеними за допомогою URL-скорочувачів. Потім такі посилання обробляються службами безпеки — зокрема Proofpoint або Intermedia — які автоматично переписують їх у вигляді “безпечних” URL-адрес, використовуючи перевірені домени.

Саме ці захищені посилання і стають пасткою. Хоча на вигляд вони легітимні, користувача насправді перенаправляють на фальшиві сторінки входу в Microsoft 365. Мета — отримати логін і пароль.

Щоб змусити користувача натиснути на посилання, хакери використовують завуальовані теми повідомлень, наприклад:

У листах також використовуються кнопки на кшталт “Відповісти” або “Переглянути повідомлення”, натискання на які веде на фальшиві форми входу.

Cloudflare попереджає: захист на основі сканування посилань працює лише тоді, коли загроза вже відома системі. Якщо фішингове посилання ще не встигли виявити, користувач потрапляє у пастку, незважаючи на всі системи захисту.

“Link wrapping зазвичай використовується для того, щоб заблокувати небезпечні цілі під час натискання. Але атаки можуть бути успішними, якщо фішингове посилання ще не позначене як загрозливе на момент кліку”, — йдеться у звіті Cloudflare.

Також зазначено, що аналогічна схема вже використовувалась через сервіси на кшталт Google Drive, але тепер атакувальники активно експлуатують саме механізм обгортання посилань.