Los piratas informáticos están robando cuentas de Microsoft 365 abusando de los servicios de envoltura de enlaces
- Los delincuentes están utilizando servicios de envoltura de enlaces para atraer a las víctimas a hacer clic
- Los enlaces redirigen a las víctimas a una página de destino falsa de Microsoft 365
- La campaña ha estado sucediendo durante al menos dos meses.
Los ciberdelincuentes están abusando del servicio de “envoltura de enlaces” de Prueba e Intermedia para evitar las protecciones por correo electrónico, crear correos electrónicos de phishing convincentes y, en última instancia, robar a las personas Microsoft 365 Credenciales. Esto es de acuerdo con los investigadores de ciberseguridad de Cloudflare, que han estado observando tales campañas en la naturaleza durante al menos dos meses.
El servicio de envoltura de enlaces de Proofpoint, conocido como defensa de URL, protege a los usuarios al reescribir cada enlace de correo electrónico entrante a la ruta a través de la puerta de enlace de inspección de Proofpoint antes de llegar al destinatario real. Cuando una persona hace clic en un enlace en un correo electrónico, se evalúa en tiempo real (incluidas las verificaciones de detonación y reputación de Sandbox) y solo se otorga acceso si el enlace se considera seguro.
Pero aquí está la captura: todas las URL originales están integradas dentro del enlace reescrito codificado (generalmente prefijado con “urldefense.proofpoint.com) que, como efecto secundario, crea una sensación de seguridad con los destinatarios, lo que hace que sea más probable que realmente hagan clic.
Campaña activa
Se vieron cibercriminales creando nuevas páginas de destino que imitan el Microsoft 365 La pantalla de inicio de sesión, y como tal, aún no están marcadas por los productos de seguridad. Luego acortarían las URL a esas páginas utilizando acortadores de URL populares como Bitly. El siguiente paso es irrumpir en cuentas de correo electrónico ya protegidas por Proofpoint, y usarlas para envolver la URL acortada.
El paso final es distribuir la URL acortada y envuelta, a menudo a través de la misma cuentas de correo electrónico que se vieron comprometidos antes.
Cloudflare dice que ya ha visto múltiples ataques, con delincuentes enviando correos electrónicos de notificación de correo de voz falso y documentos falsos de equipos de Microsoft. Las víctimas que no detectan el ataque pasan por una cadena de redireccionamientos, aterrizando en una página donde se les pide sus credenciales de inicio de sesión de Microsoft 365.
Como regla general, los enlaces en los correos electrónicos deben revisarse cuidadosamente antes de que se haga clic, especialmente si los correos electrónicos tienen algún sentido de urgencia con ellos.
