Proofpoint- und Intermedia-Link-Wrapping zur Übermittlung von Phishing-Payloads missbraucht

Inhalt

Überblick

Ein Beispiel für eine Kampagne: Proofpoint

Ein Beispiel für eine Kampagne: Intermedia

Auswirkung

Abwehr und Erkennung

Hinweise auf Kompromittierung

Verwandte Produkte

Cloudflare Email Security

Überblick

Im Juni und Juli 2025 hat das für E-Mail-Sicherheit verantwortliche Team von Cloudflare eine Gruppe von cyberkriminellen Bedrohungsaktivitäten beobachtet, bei denen Link-Wrapping von Proofpoint und Intermedia zur Verschleierung von Phishing-Payloads, zur Ausnutzung menschlichen Vertrauens und zur Erkennungsverzögerung genutzt wurden, um Abwehrmaßnahmen zu umgehen.

Link-Wrapping wird von Anbietern wie Proofpoint zum Schutz von Nutzern eingesetzt. Dabei werden alle angeklickten URL über einen Scandienst geleitet, sodass bekannte bösartige Ziele zum Zeitpunkt des Klicks blockiert werden können. Beispielsweise könnte ein E-Mail-Link, der zu http://malicioussite[.]com leitet, zu https://urldefense[.]proofpoint[.]com/v2/url?u=httpp-3A__malicioussite[.]com werden. Diese Abwehrmethode ist bei bekannten Bedrohungen durchaus wirksam. Angriffe können aber trotzdem Erfolg haben, wenn der mit einem Wrap versehene Link zum Zeitpunkt des Klicks noch nicht vom Scanner als gefährlich gekennzeichnet wurde.

Bei aktuellen Kampagnen hat das Team für E-Mail-Sicherheit von Cloudflare beobachtet, dass Angreifer die Link-Wrapping-Funktionen von Proofpoint und Intermedia zur Umgehung der Erkennung und zur Umleitung von Opfern auf verschiedene Microsoft Office 365-Phishing-Seiten missbraucht haben. Dieses Verfahren ist besonders gefährlich, weil eine Proofpoint- oder Intermedia-URL vertrauenswürdiger erscheint als ein nicht auf diese Art „verpackter“ Phishing-Link und deshalb die Wahrscheinlichkeit höher ist, dass sie angeklickt wird.

Ein Beispiel für eine Angriffskampagne: Proofpoint

Beim Missbrauch der Link-Wrapping-Funktion von Proofpoint liegt der Schwerpunkt darauf, sich unbefugten Zugriff auf von Proofpoint geschützte E-Mail-Konten zu verschaffen (also Konten, die URL-Wrapping von Proofpoint bereits nutzen). Der Angreifer verwendet diese Konten wahrscheinlich, um bösartige URL durch den Link-Wrapper von Proofpoint zu „waschen“. Die deshalb gutartig wirkenden Links werden dann im Rahmen von Phishing-Kampagnen verteilt – entweder direkt über das durch Proofpoint geschützte Konto oder ein anderes kompromittiertes oder von dem Angreifer kontrolliertes Konto.

Die Link-Wrapping-Funktion von Proofpoint wurde schon auf verschiedene Art missbraucht. Unter anderem wurden über kompromittierte Konten mehrstufige Weiterleitungen mit Diensten zur URL-Verkürzung vorgenommen. Bei dieser speziellen Vorgehensweise werden Schadlinks zunächst mit einem öffentlichen URL-Shortener wie Bitly verkürzt, wodurch sie besser verschleiert sind. Der Kurzlink wird über ein von Proofpoint geschütztes Konto verschickt und dabei von Proofpoint mit einem Wrapper versehen. So entsteht eine Weiterleitungskette, bei der die Verschleierung durch jedes Glied weiter verstärkt wird: URL-Verkürzungsdienst → Proofpoint-Wrapper → Phishing-Landingpage.

Es folgt ein Beispiel für eine Phishing-Nachricht, bei der dieses Verfahren genutzt wurde. Die E-Mail erscheint als Sprachnachricht und fordert den Empfänger auf, die verlinkte Schaltfläche anzuklicken:

Phishing-E-Mail, die sich als Sprachnachricht mit einem eingebetteten Link ausgibt

Der Hyperlink hinter der Schaltfläche „Sprachnachricht anhören“ verweist auf eine Kurz-URL:

Diese URL führt zu einem Link, der von Proofpoint mit einem Wrapper versehen wurde und wiederum eine Reihe von Weiterleitungen zu einer Microsoft Office 365-Phishing-Seite auslöst, mit der Anmeldedaten erbeutet werden sollen:

Eine Microsoft-Phishing-Seite zur Beschaffung von Anmeldedaten

Eine weitere Kampagne, die diese Technik nutzt und häufig eingesetzt wird, beinhaltet ein gefälschtes, freigegebenes Microsoft Teams-Dokument:

Phishing-E-Mail, die sich als Microsoft Teams-Dokument ausgibt

Auch hier verweist der Hyperlink hinter der Schaltfläche „Auf Teams-Dokument zugreifen“ auf eine Kurz-URL:

https://s7ku6[.]lu/lnk/AVoAAHBNPHAAAc6tFoQAA-YEUe0AAYKJ…

Diese führt zu einem von Proofpoint mit einem Wrapper versehenen Link:

https://urldefense[.]proofpoint[.]com/v2/url?u=http-3A_scra..

Dies führt wiederum zu einer Reihe von Umleitungen zu der endgültigen Phishing-Landingpage:

https://scratchpaperjournal[.]com

Obwohl die mit einem Wrapper versehenen Links in diesem speziellen Fall deaktiviert wurden und die Payload-Links nicht mehr verfügbar sind, hat das für E-Mail-Sicherheit zuständige Cloudflare-Team aufgrund der Ähnlichkeiten in den Beispielen und der konsequenten Verwendung von Microsoft-Imitationen den begründeten Verdacht, dass die Payload wahrscheinlich zu Microsoft-Phishing-Seiten führt.

Ein Beispiel für eine Angriffskampagne: Intermedia

Bei dem von uns beobachteten Missbrauch der Link-Wrapping-Funktion von Intermedia lag der Schwerpunkt ebenfalls darauf, unbefugten Zugriff auf E-Mail-Konten zu erlangen, die durch Link-Wrapping geschützt sind. Es folgt ein Beispiel für eine Phishing-Nachricht, bei der der Angreifer ein E-Mail-Konto eines durch Intermedia geschützten Unternehmens kompromittiert und dieses Konto zum Versenden von Phishing-E-Mails mit Schadlinks verwendet hat. Weil die E-Mails innerhalb des Unternehmens verschickt wurden, hat Intermedia die Links automatisch umgeschrieben, während diese die Infrastruktur durchlaufen haben.

Die E-Mail gibt vor, eine „Zix“-Secure-Message-Benachrichtigung zu sein und nutzt den Köder „Sicheres Dokument anzeigen“:

Phishing-E-Mail mit eingebettetem Link, die über ein kompromittiertes Konto versandt wurde

Der Hyperlink hinter der Schaltfläche „Sicheres Dokument anzeigen“ ist eine durch Intermedia mit einem Wrapper versehene URL:

Die URL url[.]emailprotection[.]link leitet dann zu einer Constant Contact-Seite um, auf der die eigentliche Phishing-Seite bereitgestellt wird:

Weiterleitung zu Constant Contact von url[.]emailprotection[.]link

Eine weitere gängige Kampagne, die diese Technik nutzt, beinhaltet ein gefälschtes, freigegebenes Word-Dokument:

Phishing-E-Mail mit einem Link zu einem gefälschten, freigegebenen Word-Dokument

Auch hier ist der Hyperlink hinter der Schaltfläche „Datei aufrufen“ eine von Intermedia mit einem Wrapper versehene URL:

Er leitet zu einer Microsoft-Phishing-Seite zum Stehlen von Anmeldedaten weiter:

Microsoft Phishing-Seite zum Stehlen von Anmeldedaten

Eine weitere clevere Anwendung dieser Technik umfasst die Nachahmung von Microsoft Teams:

Phishing-E-Mail mit einem Link zu einer gefälschten Teams-Nachricht

Der Hyperlink hinter der Schaltfläche „In Teams antworten“ ist der folgende, mit einem Wrapper versehene Link:

Auch hier leitet der Link zu einer Microsoft-Phishing-Seite zum Erbeuten von Anmeldedaten weiter:

Microsoft Phishing-Seite zum Stehlen von Anmeldedaten

Folgen

Durch den Missbrauch vertrauenswürdiger Link-Wrapper-Dienste und das Verschleiern bösartiger Ziele mit den legitim erscheinenden URL urldefense[.]proofpoint[.]com und url[.]emailprotection erhöhen sich die Erfolgsaussichten dieser Phishing-Kampagnen erheblich. Angreifer nutzen das Vertrauen aus, das Nutzer diesen Sicherheitstools automatisch entgegenbringen. Das kann zu höheren Klickraten führen, womit unter Umständen die Wahrscheinlichkeit für Auswirkungen wie die folgenden zunimmt:

• Direkte finanzielle Verluste: Indem Angreifer betrügerische Links als legitim erscheinen lassen, verringern sie das Misstrauen der Nutzer während des kritischen Moment des Anklickens. Das macht direkte finanzielle Verluste wahrscheinlicher. Im Jahr 2024 erfolgte bei 25 Prozent der gemeldeten Betrugsfälle der Kontakt per E-Mail. Davon hatten 11 Prozent finanzielle Einbußen zur Folge, was einem Gesamtverlust von 502 Millionen US-Dollar und einem mittleren Verlust von 600 US-Dollar pro Vorfall entspricht.

• Identitätsdiebstahl infolge einer Kompromittierung persönlicher Konten: Link-Wrapping könnte als äußerst zuverlässige Methode zur Erbeutung personenbezogener Daten dienen. Phishing-Kampagnen sind eine der beliebtesten Methoden von Angreifern zur Beschaffung personenbezogener Daten. 2024 gab es 1,1 Millionen Meldungen von Identitätsdiebstahl, wobei Kreditkartenbetrug und Ergaunerung staatlicher Leistungen am stärksten vertreten waren.

• Erheblicher Zeitaufwand für die Opfer: Opfer von Identitätsdiebstahl, der oft durch Phishing eingeleitet wird, sind mit einem erheblichen Zeitaufwand konfrontiert. Im Geschäftsjahr 2024 dauert es in Steuerfällen durchschnittlich mehr als 22 Monate (676 Tage), bis sie gelöst werden.

• Phishing als häufigste Methode für Datenverstöße: Untersuchungen von Comcast zeigen, dass 67 % aller Datenverstöße mit einem Klick auf einen scheinbar sicheren Link beginnen.

• Diebstahl von Zugangsdaten per Phishing: Der von Picus Security im Jahr 2024 verzeichnete Anstieg der Fälle von Zugangsdatendiebstahl um 300 Prozent könnte durch wirksamere Phishing-Methoden wie Link-Wrapping weiteren Auftrieb erhalten.

Abwehr und Erkennung

Da diese Kampagne die vertrauenswürdigen Domains von Sicherheitsanbietern missbraucht, ist die herkömmliche, auf Reputation beruhende URL-Filterung unwirksam. Die folgenden Erkennungsmethoden wurden von dem für E-Mail-Sicherheit zuständigen Cloudflare-Team zum Schutz vor Phishing-Kampagnen entwickelt, die die beschriebenen Link-Wrapping-Techniken verwenden. Dabei wurde eine Vielzahl von Signalen einbezogen, die auf Daten zu früheren Kampagnen beruhen. Außerdem wurden Machine Learning-Modelle eingebunden, die auf Nachrichten mit Link-Wrapping-URL trainiert wurden.

• SentimentCM.HR.Self_Send.Link_Wrapper.URL

• SentimentCM.Voicemail.Subject.URL_Wrapper.Attachment

Hinweise auf Kompromittierung

E-Mail-Erkennungs-Fingerabdrücke (E-Mail Detection Fingerprints, EDF)