Cloudflare waarschuwt voor een nieuwe phishingtechniek waarbij aanvallers linkwrapping inzetten om je met een omweg naar vervalste Microsoft-loginpagina’s te lokken.
Phishing is vandaag nog steeds een beproefd recept voor cybercriminelen, die zich alsmaar creatiever tonen om je op een schadelijke link te laten klikken. Cloudflare ontdekte een nieuwe techniek waarbij hackers gebruik maken van ‘linkwrapping’ om vervalste Microsoft-loginpagina’s te verbergen.
lees ook
‘Stealth crawling’ door Perplexity AI vastgesteld in onderzoek van Cloudflare
De aanvalstechniek zet het doel van linkwrapping volledig op zijn kop. Linkwrapping is het herschrijven van URL’s. Deze techniek helpt je normaal net beschermen tegen klassieke bedreigingen, maar aanvallers hebben ontdekt dat ze met linkwrapping schadelijke links als veilig en legitiem ogende URL’s kunnen ‘verpakken’.
Verpakte Microsoft-links
De aanvallers maken gebruik van legitieme tools met linkwrapping-functies, zoals Proofpoint en Intermedia. Sinds juni observeerde het e-mailbeveiligingsteam van Cloudflare meerdere phishingcampagnes waarbij cybercriminelen linkwrapping gebruikten om kwaadaardige links te verbergen. Verkorte, schadelijke Bitly-links werden door de tools geleid om ze betrouwbaar te doen lijken.
Microsoft-diensten nagebootst zoals Office 365 of Teams worden daarbij het vaakst nagebootst. Gebruikers ontvangen een e-mail met een knop die bijvoorbeeld verwijst naar een voicemail of gedeeld document. Achter deze knop schuilt een met een wrapper verwerkte link, die via meerdere omleidingen leidt naar een phishingpagina die inloggegevens probeert te stelen.
Verhoogd risico
De combinatie van vertrouwde beveiligingsdomeinen en overtuigende e-mails verhoogt de kans dat gebruikers effectief op de links klikken, waarschuwt Cloudflare. Daardoor neemt het risico op datadiefstal en/of financiële schade toe. Een op tien phishinggevallen zou volgens Cloudflare tot geldverlies leiden: de gemiddelde schade is met 600 dollar niet niks.
lees ook
Nee, dat is geen Microsoft-mail: hoe phishing succesvol blijft
Bovendien maakt het gebruik van legitieme beveiligingsplatformen traditionele URL-filtering ineffectief. Cloudflare ontwikkelde daarom specifieke detectieregels, waaronder machine learning-modellen, die getraind zijn op kenmerken van dergelijke gemanipuleerde links. Deze regels analyseren onder andere de inhoud van e-mails en specifieke URL-patronen die typisch zijn voor deze aanvallen.
Cloudflare raadt aan extra waakzaam te zijn voor e-mails met herschreven links, zeker wanneer deze Microsoft-diensten imiteren. Organisaties kunnen beter inzetten op contextuele detectie en gedragsanalyse in plaats van alleen reputatiegebaseerde filtering.