Técnica de link wrapping amplia roubo de credenciais do Microsoft 365
A equipe de segurança de e-mail da Cloudflare identificou um novo método de phishing que transforma ferramentas de proteção em pontos de falha. Criminosos digitais estão usando contas de e-mail comprometidas para enviar URLs maliciosas que passam por serviços legítimos de link wrapping, recurso empregado para verificar a segurança de endereços enviados a usuários.
Empresas como Proofpoint e Intermedia oferecem o serviço de reescrever links, redirecionando todos os cliques para domínios confiáveis que realizam varredura automática. A iniciativa, pensada para bloquear ameaças conhecidas, está sendo aproveitada pelos invasores para mascarar páginas falsas que imitam o portal de login do Microsoft 365.
Como o ataque de phishing funciona
O processo começa com o sequestro de uma conta legítima de e-mail. A partir dela, os criminosos geram URLs encurtadas e as inserem em mensagens com assuntos como “Novo correio de voz”, “Documento seguro disponível” ou “Nova mensagem no Microsoft Teams”. Algumas mensagens se apresentam como recados criptografados do serviço Zix, conhecido por comunicação segura.
Quando o link encurtado chega ao serviço de proteção, ele é reescrito para um domínio considerado seguro. O endereço resultante parece confiável e passa pelos filtros de segurança. Ao clicar em botões aparentemente inofensivos, como “Responder”, a vítima é conduzida a uma página que reproduz a interface do Microsoft 365. Qualquer credencial digitada é capturada e enviada aos atacantes.
Por que as soluções de segurança falham
Segundo a Cloudflare, a eficácia dos sistemas de link wrapping depende da atualização constante das listas de URLs maliciosas. Se o endereço ainda não estiver catalogado no momento do clique, o mecanismo não identifica o risco. Esse intervalo, mesmo que curto, basta para que o golpe ocorra.
Modelos semelhantes já haviam sido observados com serviços de hospedagem em nuvem, como o Google Drive. A diferença agora é o uso específico da reescrita de links como vetor principal, tornando o ataque mais difícil de detectar por ferramentas tradicionais de filtragem de e-mail.
Impacto para empresas e usuários
O Microsoft 365 concentra e-mails, arquivos e ferramentas de colaboração de milhões de organizações. O acesso não autorizado a uma conta corporativa pode resultar em vazamento de dados confidenciais, disseminação de mais phishing interno e solicitação fraudulenta de pagamentos.
Imagem: pcworld.com
Além disso, a exploração de contas comprometidas para enviar novas ondas de mensagens reforça o ciclo de ataque, pois os destinatários tendem a confiar em remetentes conhecidos dentro do próprio domínio empresarial.
Medidas recomendadas pelos especialistas
A Cloudflare destaca que a detecção automática de links maliciosos, isoladamente, deixou de ser suficiente. Administradores de TI devem:
• Ajustar regras de firewall e filtros de e-mail para verificar o destino final dos links, não apenas o domínio reescrito.
• Reforçar treinamentos de conscientização, alertando sobre assuntos e layouts usados pelos golpistas.
• Exigir autenticação multifator em contas do Microsoft 365, reduzindo o valor das credenciais roubadas.
• Monitorar atividades incomuns, como logins fora de horário ou de localizações geográficas atípicas.
Para usuários, a orientação é desconfiar de solicitações inesperadas de login, mesmo que a mensagem venha de colega ou de endereço confiável. Conferir a barra de endereços do navegador antes de inserir senha continua sendo etapa crítica para evitar a entrega involuntária de dados.
O relatório conclui que a criatividade dos invasores em aproveitar recursos de proteção exige vigilância constante. Ferramentas que ontem ofereciam camada extra de segurança podem, amanhã, se converter em porta de entrada para novos golpes.
{
“@context”: “https://schema.org”,
“@type”: “NewsArticle”,
“headline”: “Hackers usam “link wrapping” para roubar logins do Microsoft 365, aponta Cloudflare”,
“datePublished”: “2024-04-27”,
“dateModified”: “2024-04-27”,
“author”: {
“@type”: “Person”,
“name”: “Redação”
},
“publisher”: {
“@type”: “Organization”,
“name”: “Site de Notícias”,
“logo”: {
“@type”: “ImageObject”,
“url”: “https://exemplo.com/logo.png”
}
},
“description”: “Relatório da Cloudflare revela método de phishing que explora serviços de link wrapping para esconder páginas falsas de login do Microsoft 365 e driblar filtros de segurança.”
}