Nesse artigo do Blog Dolutech, vamos explorar uma ameaça sofisticada emergente que tem preocupado especialistas em cibersegurança: os ataques de phishing que abusam de serviços de link wrapping no Microsoft 365. Essas campanhas maliciosas exploram redirecionamentos disfarçados para capturar credenciais corporativas, transformando ferramentas de proteção em armas contra suas próprias organizações.
O que é Link Wrapping e Como Pode Ser Explorado
Definição e Função Legítima
O link wrapping é uma tecnologia de segurança desenvolvida por empresas como Proofpoint (URL Defense) e Intermedia para proteger usuários contra links maliciosos. O sistema funciona reescrevendo todos os links em emails para direcioná-los através de um serviço de escaneamento, permitindo bloquear destinos maliciosos conhecidos no momento do clique.
Quando um usuário recebe um email, os links originais são automaticamente reescritos com domínios confiáveis como urldefense.proofpoint.com ou url.emailprotection.link. Por exemplo, um link para http://malicioussite.com seria transformado em https://urldefense.proofpoint.com/v2/url?u=httpp-3A__malicioussite.com.
Abuso da Ferramenta de Proteção
Entre junho e julho de 2025, pesquisadores da Cloudflare identificaram campanhas maliciosas em que atacantes obtiveram acesso não autorizado a contas protegidas por link wrapping. A partir dessas contas comprometidas, os criminosos conseguem “lavar” URLs maliciosas através do sistema de proteção, criando um efeito de máscara de legitimidade.
O processo envolve primeiro encurtar o link malicioso via serviços como Bitly, depois enviá-lo através de uma conta protegida, criando uma cadeia de redirecionamento: encurtador de URL > wrap do Proofpoint > página de phishing. Essa técnica multi-camadas torna a detecção extremamente difícil.
Exemplos Reais de Ataques Documentados
Campanhas Abusando do Proofpoint
A Dolutech identificou, através dos relatórios da Cloudflare, campanhas específicas que utilizaram essa técnica sofisticada. Uma das campanhas enviava emails simulando notificações de correio de voz, com o botão “Listen to Voicemail” direcionando para uma URL encurtada que posteriormente era envolvida pelo sistema de proteção da Proofpoint.
Outra variante identificada simulava documentos compartilhados do Microsoft Teams. O email apresentava um botão “Access Teams Document” que redirecionava através de múltiplas camadas até uma página de phishing do Microsoft 365 projetada para capturar credenciais.
Campanhas Abusando do Intermedia
Nós observamos que os ataques contra organizações protegidas pela Intermedia seguiam padrão similar, mas com algumas variações táticas. Os atacantes comprometiam contas de email dentro da organização e enviavam mensagens que eram automaticamente processadas pelo sistema de link wrapping da Intermedia.
Uma das campanhas mais elaboradas simulava alertas de “mensagem segura” do Zix, um serviço legítimo de email criptografado. O email continha um botão “View Secure Document” que redirecionava através do sistema url.emailprotection.link para uma página hospedada no Constant Contact, onde estava localizada a página de phishing final.
Por Que Esse Ataque é Extremamente Eficaz
Exploração de Confiança Institucional
A presença de domínios conhecidos como urldefense.proofpoint.com ou url.emailprotection.link reduz significativamente a suspeita dos usuários, uma vez que esses domínios são associados a empresas de segurança respeitadas no mercado corporativo.
Obfuscação em Múltiplas Camadas
O uso de encurtadores combinado com o sistema de wrapping cria múltiplas camadas de redirecionamento que dificultam tanto a análise automatizada quanto a inspeção humana. Essa cadeia de redirecionamento passa por dois níveis de ofuscação, Bitly e URL Defense da Proofpoint, antes de levar a vítima à página de phishing.
Exploração de Urgência Psicológica
As campanhas exploram instintos humanos de resposta rápida, usando pretextos como correios de voz urgentes, documentos compartilhados com prazo ou alertas de segurança. Essa exploração da confiança inerente que os usuários depositam nessas ferramentas de segurança pode levar a taxas de clique mais altas e maior probabilidade de sucesso.
Impactos e Consequências das Campanhas
Perdas Financeiras Diretas
Em 2024, email foi o método de contato para 25% dos relatórios de fraude, com 11% resultando em perdas financeiras, totalizando perdas agregadas de $502 milhões. A eficácia aumentada dessas técnicas pode elevar significativamente esses números.
Roubo de Identidade e Dados Pessoais
Campanhas de phishing são um método primário para atacantes obterem informações pessoais, contribuindo para 1,1 milhão de relatórios de roubo de identidade em 2024, com casos relacionados a impostos levando em média 676 dias para resolução.
Como Mitigar Esses Ataques Sofisticados
Implementação de Tecnologias Defensivas Avançadas
A primeira linha de defesa deve incluir a ativação do Safe Links no Microsoft Defender para Office 365. O Safe Links fornece escaneamento e reescrita de URLs em mensagens de email de entrada durante o fluxo de email, e verificação no momento do clique de URLs e links em mensagens de email, Teams e aplicativos do Office 365 suportados.
Nós recomendamos também a implementação de autenticação multifator (MFA) como barreira adicional, especialmente considerando que alguns ataques podem capturar tokens de sessão além de senhas tradicionais.
Educação Continuada e Consciência de Segurança
Os colaboradores devem ser treinados para inspecionar cadeias de redirecionamento antes de inserir credenciais. É crucial desenvolver protocolos para verificar remetentes e contextos de comunicação, especialmente em mensagens que forçam ação imediata.
A Dolutech enfatiza a importância de programas de conscientização que ensinem funcionários a reconhecer sinais de URLs suspeitas, mesmo quando envolvidas por serviços legítimos de segurança.
Monitoramento e Resposta Proativa
Organizações devem implementar monitoramento contínuo de tráfego de email e eventos de login anômalos. A configuração de filtros avançados para detecção comportamental pode identificar redirecionamentos incomuns e padrões suspeitos em tempo real.
Medidas Técnicas Específicas
Configuração de Safe Links Aprimorada: Certifique-se de que as políticas do Safe Links estejam configuradas para funcionar não apenas em emails, mas também em Teams e aplicações do Office. O Safe Links funciona através de escaneamento que ocorre além da proteção regular anti-spam e anti-malware.
Auditoria de Configurações de Wrapping: É essencial auditar regularmente as configurações dos serviços de link wrapping para identificar possíveis abusos ou configurações inadequadas.
Análise de Detonação em Sandbox: Implementar sistemas que possam analisar completamente cadeias de redirecionamento em ambientes isolados antes de permitir acesso aos usuários finais.
Exemplo Técnico: Identificando Links Suspeitos
Para identificar potenciais abusos, administradores devem procurar por padrões específicos:
URL Original Maliciosa: https://malicious-domain.net/login.php
↓
URL Encurtada: https://bit.ly/xxxxx
↓
URL Wrapped: https://urldefense.proofpoint.com/v2/url?u=https-3A__bit.ly__xxxxx
↓
Destino Final: Página de phishing do Microsoft 365Resposta da Indústria e Contramedidas
A Proofpoint afirmou estar ciente de atores de ameaça abusando de redirecionamentos de URL e proteção de URL em campanhas de phishing em andamento, observando essa técnica de múltiplos provedores de serviços de segurança. A empresa implementou sistemas de detecção de IA comportamental que identificam e descartam mensagens com URLs suspeitas.
A indústria está desenvolvendo novas abordagens para detecção, incluindo análise de machine learning treinada em dados históricos de campanhas e modelos que incorporam sinais específicos de URLs com link wrapping.
Conclusão
A Dolutech alerta que o phishing via link wrapping no Microsoft 365 representa um salto significativo em sofisticação, transformando os próprios mecanismos de segurança em vetores de ataque. Essas campanhas exploram a confiança inerente que os usuários depositam nessas ferramentas de segurança, aumentando significativamente a probabilidade de ataques bem-sucedidos.
Contudo, com a implementação de políticas técnicas adequadas, incluindo Safe Links robusto, autenticação multifator obrigatória, e programas abrangentes de conscientização dos usuários, organizações podem mitigar eficazmente essa ameaça emergente. A chave está em reconhecer que a segurança moderna requer uma abordagem em camadas que combine tecnologia avançada com educação continuada dos usuários.
Nesse contexto evolutivo de ameaças, nós enfatizamos que a vigilância constante e a adaptação proativa das defesas são essenciais para manter a segurança organizacional em um cenário onde a criatividade dos atacantes continua superando as expectativas tradicionais de segurança.
Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.
