Criminali abusano dei servizi di link wrapping per aggirare i controlli

Ago 01, 2025 Redazione Attacchi, In evidenza, News, RSS 0

Nuove tecniche sfruttano i servizi di sicurezza email come Proofpoint e Intermedia per camuffare URL dannosi. In crescita anche l’uso di SVG e finti meeting Zoom per carpire credenziali.

Le campagne di phishing continuano a evolversi, sfruttando non solo tecniche di ingegneria sociale sempre più raffinate, ma anche abuso di strumenti pensati per difendere gli utenti. È il caso delle nuove attività malevole individuate dai ricercatori di Cloudflare che hanno osservato un utilizzo fraudolento dei servizi di link wrapping offerti da provider come Proofpoint e Intermedia per veicolare in modo furtivo link pericolosi.

Il link wrapping è una funzionalità di sicurezza che riscrive gli URL contenuti nei messaggi email, reindirizzandoli attraverso un sistema di scansione in grado di bloccare in tempo reale i collegamenti noti come malevoli. Ma, come sottolineano gli esperti, questo meccanismo si rivela inefficace nel caso in cui l’URL non sia ancora stato identificato come dannoso al momento del click.

Phishing sotto mentite spoglie

Gli attacchi osservati nelle ultime settimane, quindi, simulano messaggi di notifica vocale, richieste di visualizzazione documenti su Microsoft Teams o finte comunicazioni di messaggi non letti. In tutti i casi, il destinatario è indotto a cliccare su un link che lo conduce a una pagina fasulla di login Microsoft 365, appositamente costruita per sottrarre le credenziali di accesso.

Uno degli elementi più insidiosi è la tecnica chiamata “multi-tiered redirect abuse”, in cui i cybercriminali nascondono il link malevolo dietro una catena di reindirizzamenti: prima viene accorciato tramite un servizio come Bitly, poi è ulteriormente mascherato attraverso il wrapping Proofpoint, rendendo particolarmente difficile l’identificazione automatica del contenuto pericoloso.

Ma non si tratta solo di abuso tecnologico. Queste campagne partono spesso da account email già compromessi, appartenenti a organizzazioni che utilizzano i suddetti servizi di protezione. In questo modo, qualsiasi link inviato da questi account viene automaticamente “wrappato” dal sistema, conferendo una falsa sensazione di sicurezza al destinatario.

La risposta dei vendor

Proofpoint ha confermato di essere a conoscenza dell’abuso dei propri servizi e ha dichiarato che queste campagne sono individuate tramite motori di intelligenza artificiale comportamentale che analizzano i link reindirizzati e bloccano le URL finali dell’intera catena. Una volta rilevata come malevola, l’intera catena di redirect viene invalidata anche per gli utenti esterni al servizio di sicurezza.

Il problema, tuttavia, riguarda anche altri provider i cui sistemi di riscrittura URL possono essere manipolati in modo analogo, secondo quanto riferito da Proofpoint.

La crescente complessità delle campagne phishing dimostra che i cybercriminali lavorano costantemente per migliorare i loro strumenti, inclusi quelli usati per attacchi ormai considerati “banali” come il phishing.

Condividi l'articolo

credential harvesting, cybersecurity, email security, link wrapping, Microsoft 365 phishing, Phishing, Proofpoint, redirect chain

Secret Blizzard attacca le ambasciate straniere a Mosca tramite gli ISP Un Raspberry Pi per hackerare accedere alla rete bancaria: l'attacco (fallito) di UNC2891