Федерация кибербезопасности вновь привлекает внимание к опасной тенденции, связанной с многоуровневыми атаками фишинга, нацеленными на пользователей Microsoft 365. В последние месяцы эксперты обнаружили новую, сложную тактику злоумышленников, которая базируется на использовании многоуровневых перенаправлений и обмана систем безопасности, тем самым позволяя киберпреступникам похищать учетные данные через поддельные страницы входа. В основе данной схемы лежит использование сервисов по обертыванию ссылок (link wrapping), таких как Proofpoint и Intermedia. Эти инструменты изначально созданы для повышения безопасности и проверки ссылок перед их переходом, что помогает выявлять и блокировать известные вредоносные адреса. Однако злоумышленники нашли способ обойти эти механизмы – они эксплуатируют легитимные функции сервисов для маскировки фишинговых URL, тем самым вводя в заблуждение пользователей и системы защиты.
Атака начинается с получения несанкционированного доступа к реальным корпоративным почтовым аккаунтам, в которых активированы услуги обертывания ссылок. После компрометации такого аккаунта все отправляемые с него письма автоматически получают переписанные ссылки с использованием служб безопасности, что создаёт иллюзию легитимности. Таким образом, адреса вроде urldefense.proofpoint.com становятся «оболочкой» для злонамеренных сайтов.
Кроме того, эксперты описывают так называемое многоуровневое перенаправление. Эта техника подразумевает, что злоумышленники сначала сокращают целевые ссылки с помощью популярных сервисов, таких как Bitly, добавляя первый уровень маскировки. Потом скомпрометированный почтовый аккаунт в Proofpoint используется для автоматической подстановки защитной оболочки ссылки, формируя второй уровень замаскированного перенаправления. В итоге пользователь, кликая на видимую безопасную ссылку, на самом деле проходит через несколько слоёв обмана, прежде чем окажется на фишинговой странице, имитирующей вход в Microsoft 365. Обычные в таких рассылках темы – уведомления о новых голосовых сообщениях, приглашения прослушать голосовые записи, оповещения о получении документов через Microsoft Teams, а также сообщения с заманчивыми кнопками «Ответить в Teams».
Все эти механизмы используются для повышения доверия и провоцирования пользователя на переход по ссылке. Cloudflare Email Security и другие специалисты подчёркивают, что подобное маскирование значительно повышает вероятность успешной атаки, поскольку ссылки, обёрнутые через официальные сервисы защиты, реже вызывают подозрения как у конечных пользователей, так и у систем фильтрации. Поскольку злоумышленники используют легитимные почтовые аккаунты внутри организаций, проверить подлинность отправителя становится сложнее. Proofpoint, к одному из ведущих поставщиков email-безопасности, подтвердил осведомлённость о подобных злоупотреблениях и отметил, что аналогичные методы наблюдаются и в продуктах других производителей, таких как Cisco и Sophos. Они используют поведенческое ИИ-обнаружение для блокировки вредоносных сообщений и URL.
Несмотря на то, что службы безопасности стараются оперативно обновлять базы данных и блокировать угрозы, динамика атак свидетельствует о постоянной эволюции методов злоумышленников. Обычно скомпрометированный аккаунт используется для отправки фишинговых материалов в самые крупные организации, что усложняет выявление и быструю изоляцию кампаний. Помимо использования многоуровневых перенаправлений, в последние месяцы наблюдается всплеск атак, в которых применяются SVG-файлы для обхода защитных систем. В отличие от привычных PNG или JPEG, SVG – это векторный формат, который написан на XML и позволяет внедрять скрипты JavaScript и HTML-код. Такой формат позволяет нападениям оставаться незамеченными для антиспамовых и антивирусных решений, при этом раскрывая многоступенчатые вредоносные цепочки.
Еще одна популярная направленность – имитация фальшивых видеоконференций Zoom. Пользователь получает письмо с ссылкой на видеовстречу, которая приводит к поддельному сайту, стилизованному под интерфейс Zoom. При попытке «присоединиться» появляется сообщение о превышении времени подключения, после чего пользователя перенаправляют на фишинговую страницу, где запрашиваются учетные данные. Эти данные, вместе с IP-адресом и другими метаданными, в дальнейшем отправляются злоумышленникам через защищенный мессенджер Telegram. Данный метод особенно опасен, поскольку маскируется под распространённую бизнес-практику – дистанционные совещания, а также создает иллюзию технических неполадок, снижая бдительность пользователей.
Важность защиты от таких сложных методов атаки заключается не только в понимании самой техники, но и в поддержании многоуровневой безопасности. Компаниям советуют сосредоточиться на усиленной аутентификации с использованием многофакторной проверки, регулярном обучении пользователей методам распознавания фишинга и своевременном выявлении компрометации почтовых аккаунтов. Также критически важно использовать современные решения по поведенческой аналитике и ИИ, которые могут выявлять нетипичную активность даже в сообщениях, поступающих от внутренних сотрудников. Ограничение доступа и мониторинг цепочек редиректов, а также внедрение политики ограничения применения ссылок при переписывании почтовых систем помогут снизить риски. Технологические компании и специалисты по кибербезопасности продолжают обмениваться информацией и совместно разрабатывают новые подходы к защите корпоративной почты и пользовательских учетных записей.
Но одним из основных факторов успеха становится осведомленность конечных пользователей: понимание того, что даже доверенные ссылки могут быть опасными, и осторожность при переходе по уведомлениям – первый шаг к сохранности данных. Таким образом, выявленная многоуровневая тактика перенаправления является ярким примером того, как злоумышленники адаптируются к существующим системам безопасности и продолжают совершенствовать свои методы. Современная киберзащита требует комплексного подхода и своевременного реагирования на новые угрозы, чтобы эффективно предотвращать компрометацию ценных цифровых ресурсов организаций и отдельных пользователей.
