Phishing per Link-Wrapping: Proofpoint & Intermedia missbraucht

Cyberkriminelle nutzen zunehmend die Link-Wrapping-Funktionen von Sicherheitsanbietern wie Proofpoint und Intermedia, um Phishing-Inhalte zu tarnen und gezielt zu verbreiten. Das geht aus einer aktuellen Analyse von Cloudforce One hervor, dem Threat-Intelligence-Team von Cloudflare.

Dem Bericht zufolge setzen die Angreifer auf manipulierte Weiterleitungen über vermeintlich vertrauenswürdige Links, um ihre Opfer auf gefälschte Microsoft-365-Seiten zu locken. Die missbrauchten URL-Wrapper stammen ausgerechnet von bekannten Sicherheitsdiensten – ein Trick, der bei vielen Nutzern Vertrauen weckt und die Erfolgschancen der Angriffe deutlich erhöht.

Phishing bleibt laut Sicherheitsexperten eine der häufigsten Ursachen für Datenpannen und Identitätsdiebstahl. Die im Bericht beschriebene Methode zeigt, wie raffiniert Cyberkriminelle inzwischen vorgehen, um bestehende Sicherheitsmechanismen zu umgehen.

Zwischen Juni und Juli 2025 identifizierte das Cloudflare Email Security Team eine Phishing-Kampagne, bei der Cyberkriminelle Link-Wrapping-Dienste von Proofpoint und Intermedia gezielt ausnutzten. Ziel war es, Phishing-URLs zu tarnen, die Erkennung zu umgehen und Office-365-Zugangsdaten abzugreifen.

Technik: Legitime Wrapping-Mechanismen als Tarnung

Link-Wrapping leitet URLs über Scan-Dienste um, um bekannte Bedrohungen beim Klick zu blockieren. Doch wird die Ziel-URL beim Klick nicht erkannt, bleibt sie erreichbar – trotz Proofpoint- oder Intermedia-Branding.

Angriffsstruktur: Mehrstufige Weiterleitungen & kompromittierte Konten

Die Täter setzten auf mehrfache Link-Verschleierung: z. B. Bitly-Shortlink → Proofpoint-Wrapping → Phishing-Seite. In einigen Fällen wurden zuvor kompromittierte, durch Proofpoint geschützte E-Mail-Konten zur Verbreitung genutzt – inklusive „Link-Wäsche“ über legitime Systeme.

Beispiel: Fake-Voicemail mit Office-Login

Eine gängige Masche: Voicemail-Benachrichtigungen mit Proofpoint-verpackten Links zu gefälschten Microsoft-Login-Seiten. Die scheinbar legitime URL erhöht die Klickwahrscheinlichkeit deutlich.

Phishing-E-Mail, die sich als Voicemail-Benachrichtigung mit einem verschleierten Link tarnt Quelle: Cloudflare

Der Hyperlink hinter der Schaltfläche „Voicemail abhören“ verweist auf eine verkürzte URL:

https://s7991[.]mjt[.]lu/lnk/AVsAAHFeEYgAAc442HAAA_j6qL0AAYKJwxkAoQJeADAzvgBoXEngBR928bCaSBqJwy2W7VW5yAAsGhY/1/3wIgjH7WJCaWg14ggbmciA/aHR0cHM6Ly91cmxkZWZlbnNlLnByb29mcG9pbnQuY29tL3YyL3VybD91PWh0dHBzLTNBX19nb2pvLmxjaS0yRG5kLmNvbSZkPUR3TUNhUSZjPWV1R1pzdGNhVERsbHZpbUVOOGI3alhyd3FPZi12NUFfQ2RwZ25WZmlpTU0mcj1KSFBkSDJlWWhKajhrSlBDc2FGSjBjZXg5dG5GRF9tQTFHUlQ0V0dQYVhVJm09VkRod2NCUHZfNENXcnBEQU1oT1pudk5qX0ZkbER0S3BqR2NOaklTZXVjeEVTVk10cktjVWp5ZkgyTlJxSnZ4OCZzPWxmSU01NnpNU3BLT3V0YVBnNVVnMDIyVnZ6c3BQYmZYTWtDMFNrb3dTbjQmZT0

Diese URL führt zu einem von Proofpoint umschlossenen Link, der wiederum eine Reihe von Weiterleitungen zu einer Microsoft Office 365-Phishing-Seite auslöst, die zum Abfangen von Anmeldedaten dient:

Eine Microsoft-Phishing-Seite, die zum Abgreifen von Anmeldedaten entwickelt wurde. Quelle: Cloudflare

Eine weitere gängige Kampagne, die diese Technik nutzt, umfasst ein gefälschtes Microsoft Teams-Dokument, das geteilt wird:

Phishing-E-Mail, die sich als Microsoft Teams-Dokument ausgibt Quelle: Cloudflare

Auch hier führt der Hyperlink hinter der Schaltfläche „Auf Teams-Dokument zugreifen“ zu einer verkürzten URL:

https://s7ku6[.]lu/lnk/AVoAAHBNPHAAAc6tFoQAA-YEUe0AAYKJ…

Diese URL führt zu einem von Proofpoint ummantelten Link:

https://urldefense[.]proofpoint[.]com/v2/url?u=http-3A_scra..

Dies führt wiederum zu einer Reihe von Weiterleitungen zur endgültigen Phishing-Landingpage:

https://scratchpaperjournal[.]com

Obwohl die ummantelten Links in diesem speziellen Fall deaktiviert wurden und die Payload-Links nicht mehr verfügbar sind, vermutet das Cloudflare Email Security-Team aufgrund der Ähnlichkeiten in den Beispielen und der konsequenten Verwendung von Microsoft-Identitätsdiebstahl stark, dass die Payload wahrscheinlich auf Microsoft-Phishing-Seiten weitergeleitet wird.

Kampagnenbeispiele: Intermedia

Der beobachtete Missbrauch von Link-Wrapping durch Intermedia konzentrierte sich ebenfalls auf den unbefugten Zugriff auf E-Mail-Konten, die durch Link-Wrapping geschützt waren. Nachfolgend finden Sie ein Beispiel für eine Phishing-Nachricht, in der der Angreifer ein E-Mail-Konto innerhalb einer durch Intermedia geschützten Organisation kompromittierte und dieses verwendete, um Phishing-E-Mails mit bösartigen Links zu versenden. Da die E-Mails aus dem Inneren der Organisation versendet wurden, schrieb Intermedia die Links automatisch um, als sie die Infrastruktur passierten.

Die E-Mail gibt vor, eine Benachrichtigung von „Zix Secure Message“ mit dem Köder „Sicheres Dokument anzeigen“ zu sein:

Phishing-E-Mail mit verschleiertem Link, versendet über ein kompromittiertes Konto Quelle: Cloudflare

Der Hyperlink in der Schaltfläche „Sicheres Dokument anzeigen“ ist eine von Intermedia verschleierte URL:

Die URL url[.]emailprotection[.]link leitet dann zu einer Constant Contact-Seite weiter, auf der die eigentliche Phishing-Seite eingerichtet wurde:

Constant Contact-Weiterleitung von url[.]emailprotection[.]link Quelle: Cloudflare 

Eine weitere gängige Kampagne, die diese Technik nutzt, umfasst ein gefälschtes freigegebenes Word-Dokument:

Phishing-E-Mail mit einem Link zu einem gefälschten Word-Dokument Quelle: Cloudflare 

Der Hyperlink in der Schaltfläche „Zur Datei gehen“ ist erneut eine von Intermedia verschlüsselte URL:

Dieser Link leitet zu einer Microsoft-Phishing-Seite weiter, die zum Abgreifen von Anmeldedaten dient:

Microsoft-Phishing-Seite zum Abgreifen von Anmeldedaten 

Eine weitere clevere Anwendung dieser Technik war die Imitation von Microsoft Teams:

Phishing-E-Mail mit einem Link zu einer gefälschten Teams-Nachricht Quelle: Cloudflare 

Der Hyperlink in der Schaltfläche „In Teams antworten” ist der folgende umgebrochene Link:

Auch dieser Link leitet zu einer Microsoft-Phishing-Seite weiter, die dazu dient, Anmeldedaten zu erfassen:

Microsoft-Phishing-Seite zum Abgreifen von Anmeldedaten Quelle: Cloudflare 

Auswirkungen

Durch die Verschleierung bösartiger Ziele mit legitimen URLs wie urldefense[.]proofpoint[.]com und url[.]emailprotection erhöhen diese Phishing-Kampagnen durch den Missbrauch vertrauenswürdiger Link-Wrapping-Dienste die Wahrscheinlichkeit eines erfolgreichen Angriffs erheblich. Angreifer nutzen das Vertrauen der Benutzer in diese Sicherheitstools aus, was zu höheren Klickraten und einer höheren Wahrscheinlichkeit von Auswirkungen führen kann, wie z. B.:

• Direkte finanzielle Verluste: Indem sie betrügerische Links als legitim erscheinen lassen, verringern Angreifer das Misstrauen der Benutzer im entscheidenden Moment des Klicks und erhöhen so die Wahrscheinlichkeit direkter finanzieller Verluste. Im Jahr 2024 waren E-Mails die Kontaktmethode für 25 % der Betrugsmeldungen. Davon führten 11 % zu finanziellen Verlusten in Höhe von insgesamt 502 Millionen US-Dollar und einem mittleren Verlust von 600 US-Dollar pro Vorfall.
• Kompromittierung persönlicher Konten, die zu Identitätsdiebstahl führt: Link-Wrapping könnte als äußerst zuverlässige Methode zum Sammeln persönlicher Daten dienen. Phishing-Kampagnen sind eine der wichtigsten Methoden von Angreifern, um persönliche Informationen zu erhalten. Sie trugen dazu bei, dass im Jahr 2024 1,1 Millionen Fälle von Identitätsdiebstahl gemeldet wurden, wobei Kreditkartenbetrug und Betrug im Zusammenhang mit staatlichen Leistungen die häufigsten Kategorien waren.
• Erheblicher Zeitaufwand für die Opfer: Opfer von Identitätsdiebstahl, der häufig durch Phishing initiiert wird, sind mit einem erheblichen Zeitaufwand konfrontiert. Im Geschäftsjahr 2024 dauerte die Aufklärung von Fällen im Zusammenhang mit Steuern durchschnittlich über 22 Monate (676 Tage).
• Phishing als führende Methode für Sicherheitsverletzungen: Untersuchungen von Comcast zeigen, dass 67 % aller Sicherheitsverletzungen damit beginnen, dass jemand auf einen scheinbar sicheren Link klickt.
• Diebstahl von Zugangsdaten durch Phishing: Der von Picus Security im Jahr 2024 beobachtete Anstieg der Vorfälle von Zugangsdatendiebstahl um 300 % könnte durch effektivere Phishing-Techniken wie Link-Wrapping begünstigt werden

Abwehr und Erkennung

Da diese Kampagne die vertrauenswürdigen Domains von Sicherheitsanbietern missbraucht, ist herkömmliche reputationsbasierte URL-Filterung unwirksam. Die folgenden Erkennungsmechanismen wurden von Cloudflare Email Security entwickelt, um vor Phishing-Kampagnen zu schützen, die die beschriebenen Link-Wrapping-Techniken nutzen. Sie nutzen eine Vielzahl von Signalen, die auf historischen Kampagnendaten basieren, und integrieren Machine-Learning-Modelle, die anhand von Nachrichten mit Link-Wrapping-URLs trainiert wurden.

• SentimentCM.HR.Self_Send.Link_Wrapper.URL
• SentimentCM.Voicemail.Subject.URL_Wrapper.Attachment

Quelle: Cloudflare

Update: 04.08.2025

Weitere lesenswerte Artikel:

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky