Aanvallers misbruiken linkwrapping van Proofpoint en Intermedia om phishingpayloads te verspreiden
Dreiging uitgelicht - 30 juli 2025
Overzicht
Van juni 2025 tot en met juli 2025 heeft het Cloudflare Email Security-team een reeks cybercriminele activiteiten gevolgd die gebruik maakten van linkwrapping van Proofpoint en Intermedia om phishingpayloads te verhullen. Hierbij werd misbruik gemaakt van menselijk vertrouwen en detectievertragingen om verdedigingsmechanismen te omzeilen.
Linkwrapping is door leveranciers als Proofpoint ontworpen om gebruikers te beschermen door alle aangeklikte URL's via een scanservice te routeren. Zo kunnen bekende schadelijke bestemmingen worden geblokkeerd op het moment dat er wordt geklikt. Bijvoorbeeld een e-maillink naar http://malicioussite[.]com zou https://urldefense[.]proofpoint[.]com/v2/url?u=httpp-3A__malicioussite[.]com kunnen worden. Hoewel dit effectief is tegen bekende bedreigingen, kunnen aanvallen nog steeds slagen als de ingepakte link op het moment van klikken niet door de scanner wordt gemarkeerd.
Recente campagnes die door het Cloudflare Email Security-team zijn waargenomen, laten zien hoe aanvallers misbruik maken van de linkwrapping-functies van Proofpoint en Intermedia om detectie te omzeilen en slachtoffers door te sturen naar diverse phishingpagina's van Microsoft Office 365. Deze techniek is bijzonder gevaarlijk omdat slachtoffers veel eerder op een 'vertrouwde' URL van Proofpoint of Intermedia klikken dan op een onverpakte phishinglink.
Campagnevoorbeelden: Proofpoint
Misbruik van linkwrapping van Proofpoint draait om het verkrijgen van ongeautoriseerde toegang tot door Proofpoint beveiligde e-mailaccounts (dat wil zeggen accounts die URL-wrapping van Proofpoint al gebruiken). De aanvaller gebruikt deze accounts waarschijnlijk om schadelijke URL's 'wit te wassen' via de linkwrapping van Proofpoint. Vervolgens worden de nieuw gelegitimeerde links verspreid in phishingcampagnes. Dit kan rechtstreeks vanaf het door Proofpoint beveiligde account of via een ander gecompromitteerd account of een door de aanvaller beheerd account.
Aanvallers misbruikten de linkwrapping van Proofpoint op verschillende manieren, onder andere door misbruik te maken van meervoudige omleidingen met URL-verkorters via gecompromitteerde accounts. Met deze specifieke techniek vergroten aanvallers de verduistering door eerst de schadelijke link in te korten met behulp van een openbare URL-verkorter zoals Bitly. Nadat de verkorte link via een door Proofpoint beveiligd account is verzonden, verpakt Proofpoint de link in een omleidingsketen, waarbij elke schakel in de keten een extra verduisteringslaag toevoegt: URL-verkorter → Proofpoint-wrap → phishinglandingspagina.
Hieronder ziet u een voorbeeld van een phishingbericht waarin deze techniek wordt toegepast. De e-mail doet zich voor als een voicemailmelding, waarbij de ontvanger wordt gevraagd op de knop met de hyperlink te klikken:
Phishing-e-mail die zich voordoet als een voicemailmelding met een ingepakte link
De hyperlink achter de knop ‘Luister voicemail af’ verwijst naar een verkorte URL:
Deze URL leidt naar een door Proofpoint ingepakte link, die op zijn beurt resulteert in een reeks omleidingen naar een phishingpagina van Microsoft Office 365 die is ontworpen om inloggegevens te verkrijgen:
Een phishingpagina van Microsoft die is ontworpen om inloggegevens te verzamelen
Een andere veelvoorkomende campagne die gebruikmaakt van deze techniek, maakt gebruik van een nep gedeeld Microsoft Teams-document:
Phishing-e-mail die zich voordoet als een Microsoft Teams-document
Opnieuw verwijst de hyperlink achter de knop ‘Open Teams-document’ naar een verkorte URL:
https://s7ku6[.]lu/lnk/AVoAAHBNPHAAAc6tFoQAA-YEUe0AAYKJ…
Deze URL leidt naar een door Proofpoint ingepakte link:
https://urldefense[.]proofpoint[.]com/v2/url?u=http-3A_scra..
Wat op zijn beurt resulteert in een reeks omleidingen naar de uiteindelijke phishinglandingspagina:
https://scratchpaperjournal[.]com
Hoewel de ingepakte links in dit specifieke geval zijn uitgeschakeld en de schadelijke payloadlinks niet meer beschikbaar zijn, vermoedt het Cloudflare Email Security-team, gezien de overeenkomsten in de voorbeelden en het consistente gebruik van Microsoft-imitatie, sterk dat de schadelijke payload waarschijnlijk naar phishingpagina's van Microsoft is doorgestuurd.
Campagnevoorbeelden: Intermedia
Het misbruik van linkwrapping van Intermedia dat we vaststelden, richtte zich ook op het verkrijgen van ongeautoriseerde toegang tot e-mailaccounts die beschermd werden door linkwrapping. Hieronder ziet u een voorbeeld van een phishingbericht waarin de aanvaller een e-mailaccount binnen een door Intermedia beveiligde organisatie heeft gehackt en dit account heeft gebruikt om phishing-e-mails met schadelijke links te versturen. Omdat de e-mails vanuit de organisatie werden verzonden, herschreef Intermedia de links automatisch terwijl ze door de infrastructuur van het bedrijf gingen.
De e-mail pretendeert een 'Zix' Secure Message-melding te zijn met een 'Beveiligd document bekijken'-lokmiddel:
Phishing-e-mail met ingepakte link verzonden via gecompromitteerd account
De hyperlink in de knop 'Beveiligd document bekijken' is een door Intermedia ingepakte URL:
De url[.]emailprotection[.]link De URL leidt vervolgens om naar een Constant Contact-pagina, waar de daadwerkelijke phishingpagina op touw is gezet:
Constant Contact-omleiding van url[.]emailprotection[.]link
Een andere veelvoorkomende campagne die gebruikmaakt van deze techniek, maakt gebruik van een nep gedeeld Word-document:
Phishing-e-mail met een link naar een nep gedeeld Word-document
De hyperlink in de knop 'Ga naar bestand' is opnieuw een door Intermedia ingepakte URL:
Deze link leidt om naar een phishingpagina van Microsoft die is ontworpen om inloggegevens te verzamelen:
Phishingpagina van Microsoft die is ontworpen om inloggegevens te verzamelen
Een andere slimme toepassing van deze techniek was het imiteren van Microsoft Teams:
Een phishing-e-mail met een link naar een nep gedeeld Word-document
De hyperlink in de knop 'Reageren in Teams' is de volgende ingepakte link:
Ook deze link leidt u om naar een phishingpagina van Microsoft die is ontworpen om inloggegevens te verkrijgen:
Phishingpagina van Microsoft die is ontworpen om inloggegevens te verzamelen
Impact
Omdat deze phishingcampagne schadelijke bestemmingen verhult met legitieme urldefense[.]proofpoint[.]com en url[.]emailprotection -URL's, wordt dankzij het misbruik van vertrouwde linkwrappingdiensten de kans op een succesvolle aanval aanzienlijk vergroot. Aanvallers misbruiken het vertrouwen dat gebruikers in deze beveiligingstools hebben, wat kan leiden tot hogere klikfrequenties en een grotere kans op gevolgen zoals:
Direct financieel verlies: Door frauduleuze links legitiem te laten lijken, verlagen aanvallers het wantrouwen van gebruikers op het cruciale moment van klikken. Hierdoor wordt de kans op direct financieel verlies groter. In 2024 was e-mail het contactmiddel voor 25% van de fraudemeldingen. Hiervan had 11% financieel verlies tot gevolg, wat neerkomt op een totaal verlies van $¬502 miljoen en een gemiddeld verlies van $¬600 per incident.
Inbreuk op persoonlijke accounts leidt tot identiteitsdiefstal: Linkwrapping kan een zeer betrouwbare methode zijn voor het verzamelen van persoonsgegevens. Phishingcampagnes zijn de voornaamste methode voor aanvallers om persoonlijke informatie te verkrijgen en droegen in 2024 bij aan 1,1 miljoen meldingen van identiteitsdiefstal. Creditcardfraude en fraude met overheidsuitkeringen vormden hierbij de belangrijkste categorieën.
Aanzienlijke tijdsdruk voor slachtoffers: Slachtoffers van identiteitsdiefstal, vaak via phishing, kampen met een aanzienlijke tijdsdruk. De gemiddelde afhandeling van belastinggerelateerde zaken duurt in boekjaar 2024 meer dan 22 maanden (676 dagen).
Phishing als meest voorkomende methode om inbreuk te plegen: Onderzoek van Comcast toont aan dat 67% van alle inbreuken begint met het klikken op een ogenschijnlijk veilige link.
Diefstal van inloggegevens via phishing: De 300% piek in het aantal gevallen van diefstal van inloggegevens die Picus Security in 2024 heeft waargenomen, kan worden aangewakkerd door effectievere phishingtechnieken, zoals linkwrapping.
Mitigatie en detectie
Omdat deze campagne misbruik maakt van de vertrouwde domeinen van beveiligingsaanbieders, is conventioneel URL-filteren op basis van reputatie niet effectief. De volgende detecties zijn geschreven door Cloudflare Email Security ter bescherming tegen phishingcampagnes die de beschreven linkwrappingtechnieken gebruiken. Ze maken gebruik van diverse signalen op basis van historische campagnegegevens en zetten machine learning-modellen in die zijn getraind op berichten met linkwrapping-URL's.
SentimentCM.HR.Self_Send.Link_Wrapper.URL
SentimentCM.Voicemail.Subject.URL_Wrapper.Attachment
