Uma nova técnica de phishing está transformando ferramentas de proteção digital em armas contra os próprios usuários. Entre junho e julho de 2025, a equipe de segurança de e-mail da Cloudflare identificou uma campanha criminosa que explora serviços de encapsulamento de links da Proofpoint e da Intermedia para mascarar URLs maliciosas e direcionar vítimas a páginas falsas do Microsoft 365, com o objetivo de roubar credenciais de acesso.

• Brinquedos eróticos têm falha de segurança que expõe 20 milhões de usuários
• Morango do Amor ou do golpe? Doce da moda vira isca para ladrões

O esquema é preocupante e mostra que os atacantes conseguiram subverter tecnologias projetadas especificamente para proteger usuários contra links maliciosos. Ao invés de tentar contornar essas defesas, os cibercriminosos encontraram uma forma de explorá-las em seu favor, transformando domínios confiáveis em meios de distribuição de ameaças.

A descoberta expõe uma vulnerabilidade na arquitetura de segurança de e-mail: a confiança implícita que usuários depositam em domínios de empresas reconhecidas no setor de cibersegurança. “Esta técnica é particularmente perigosa, pois as vítimas têm muito mais probabilidade de clicar em uma URL ‘confiável’ da Proofpoint ou Intermedia do que em um link de phishing não encapsulado”, alertam os pesquisadores da Cloudflare em seu relatório.

–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–

Links parecem 100% autênticos

O sucesso do novo método de ataque reside no abuso do “link wrapping” ou encapsulamento de links, uma técnica legítima desenvolvida para proteger usuários contra ameaças online. Em condições normais, serviços como os da Proofpoint funcionam reescrevendo todas as URLs presentes em mensagens de e-mail, direcionando-os primeiro através de um serviço de escaneamento que verifica se o destino é malicioso antes de permitir o acesso final.

Por exemplo, um link para um site suspeito como “http://sitemalicioso.com” seria automaticamente transformado em algo como “https://urldefense.proofpoint.com/v2/url?u=httpp-3A__sitemalicioso.com”. Essa camada adicional de proteção é eficaz contra ameaças conhecidas, mas os ataques ainda podem ser bem-sucedidos se o link encapsulado não tiver sido sinalizado pelo scanner no momento do clique.

Os criminosos descobriram como explorar essa janela de oportunidade de forma sistemática. O primeiro passo envolve obter acesso não-autorizado a contas de e-mail que já estão protegidas pelos serviços de encapsulamento de links da Proofpoint ou Intermedia. Uma vez com controle dessas contas, os atacantes as utilizam para “lavar” URLs maliciosos através do próprio sistema de proteção, distribuindo os links agora legitimados em campanhas de phishing.

Para aumentar ainda mais a ofuscação, os cibercriminosos empregam uma técnica de redirecionamento em múltiplas camadas. Primeiro, eles encurtam o link malicioso usando serviços públicos como Bitly. Depois, ao enviar o link encurtado através de uma conta protegida pela Proofpoint, a plataforma automaticamente encapsula a URL, criando uma cadeia de redirecionamentos onde cada elo adiciona uma camada extra de ocultação: encurtador de URL → encapsulamento Proofpoint → página de phishing final.

No caso da Intermedia, o processo é similar, mas com algumas particularidades. Os atacantes comprometem contas de e-mail dentro de organizações protegidas pela Intermedia e as utilizam para enviar e-mails de phishing contendo links maliciosos. Como as mensagens são enviadas de dentro da própria organização, a Intermedia automaticamente reescreve os links conforme eles passam por sua infraestrutura, criando URLs com o domínio “url.emailprotection.link” que aparentam total legitimidade.

Impactos do novo golpe

A exploração de serviços de encapsulamento de links tem potencial para causar danos significativos tanto a indivíduos quanto a organizações. O primeiro e mais imediato impacto é o risco de perdas financeiras diretas. Ao fazer com que links fraudulentos pareçam legítimos, os atacantes reduzem substancialmente a suspeita dos usuários no momento crítico do clique, aumentando drasticamente as chances de sucesso do golpe.

Dados de 2024 revelam que o e-mail foi o método de contato utilizado em 25% de todos os relatórios de fraude registrados, sendo que 11% desses casos resultaram em perdas financeiras efetivas. O prejuízo agregado chegou a US$ 502 milhões, com uma perda mediana de US$ 600 por incidente. Com a nova técnica de encapsulamento malicioso, esses números tendem a crescer significativamente, uma vez que a barreira da desconfiança natural dos usuários é fortemente reduzida.

O comprometimento de contas pessoais é outro impacto crítico, frequentemente levando ao roubo de identidade. Campanhas de phishing são um método primário para atacantes obterem informações pessoais, contribuindo para mais de 1,1 milhão de relatórios de roubo de identidade em 2024. As categorias mais afetadas incluem fraudes com cartão de crédito e benefícios governamentais, áreas onde o acesso a credenciais do Microsoft 365 pode abrir portas para uma ampla gama de serviços conectados.

A recuperação de incidentes de roubo de identidade impõe um fardo temporal gigantesco às vítimas. Casos relacionados a questões fiscais, por exemplo, levam em média mais de 22 meses (676 dias) para resolução completa, segundo dados de 2024 da Cloudflare. Esse longo período de recuperação não apenas causa estresse pessoal, mas também pode resultar em perdas financeiras secundárias e danos à reputação profissional.

Para organizações, os riscos são ainda maiores. Pesquisas da Comcast mostram que 67% de todas as violações de dados começam com alguém clicando em um link aparentemente seguro. Com o encapsulamento malicioso tornando links fraudulentos ainda mais convincentes, as empresas enfrentam um risco elevado de comprometimento de dados corporativos, violação de compliance e potenciais sanções regulatórias.

O roubo de credenciais via phishing representa uma preocupação crescente no cenário corporativo. A Picus Security observou um aumento de 300% nos incidentes de roubo de credenciais em 2024, tendência que pode ser significativamente acelerada por técnicas mais eficazes como o encapsulamento de links maliciosos. Uma vez que atacantes obtêm acesso a contas corporativas do Microsoft 365, eles podem se mover lateralmente através da infraestrutura da empresa, acessar dados sensíveis e até mesmo comprometer sistemas críticos de negócios.

Como identificar golpe e se manter seguro

A detecção e prevenção de ataques que abusam do encapsulamento de links exigem uma abordagem multicamada que vai além dos métodos tradicionais de filtragem por reputação de URL. Como essas campanhas exploram domínios confiáveis de provedores de segurança, as técnicas comuns baseadas em reputação acabam se tornando ineficazes, demandando estratégias mais sofisticadas de identificação e mitigação.

O primeiro passo é implementar detecção baseada em análise comportamental e machine learning. A Cloudflare desenvolveu regras específicas de detecção que aproveitam uma variedade de sinais baseados em dados históricos de campanhas, incorporando modelos de aprendizado de máquina treinados especificamente em mensagens contendo URLs de encapsulamento. Essas detecções incluem identificadores como “SentimentCM.HR.SelfSend.LinkWrapper.URL” e “SentimentCM.Voicemail.Subject.URL_Wrapper.Attachment”, que podem ser adaptados para diferentes soluções de segurança de e-mail.

Para usuários individuais e organizações, a educação e conscientização são a linha de defesa mais importante. É essencial treinar funcionários para reconhecer os sinais característicos desses ataques: e-mails que se fazem passar por notificações de correio de voz, documentos compartilhados do Microsoft Teams, mensagens “seguras” do Zix ou qualquer comunicação que urgentemente solicite o clique em um link para acessar conteúdo crítico. Mesmo quando esses links parecem vir de domínios confiáveis, a verificação independente através de canais alternativos deve ser sempre realizada.

A implementação de autenticação multifator (MFA) para todas as contas do Microsoft 365 é uma medida de proteção indispensável. Mesmo que credenciais sejam comprometidas através de phishing, o MFA adiciona uma camada extra de segurança que pode impedir o acesso não-autorizado às contas. Organizações devem tornar o MFA obrigatório, não opcional, especialmente para contas administrativas e de usuários com acesso a dados sensíveis.

Administrators de TI devem considerar a implementação de políticas de acesso condicional que analisem comportamentos anômalos de login, como tentativas de acesso de localizações geográficas incomuns ou dispositivos não reconhecidos. Essas políticas podem bloquear automaticamente ou exigir autenticação adicional quando padrões suspeitos são detectados, mesmo que as credenciais corretas tenham sido fornecidas.

A atualização e configuração adequada de firewalls e filtros de e-mail também são fundamentais. Embora a filtragem tradicional por reputação seja limitada contra esta técnica específica, soluções avançadas que incorporam análise de conteúdo, detecção de anomalias e intelligence de ameaças podem identificar padrões suspeitos mesmo quando domínios legítimos estão sendo abusados.

Por fim, organizações devem estabelecer protocolos claros de resposta a incidentes que incluam procedimentos específicos para casos de comprometimento de credenciais. Isso inclui a revogação imediata de acesso, análise forense para determinar o escopo do comprometimento, notificação adequada às partes interessadas e implementação de medidas corretivas para prevenir futuras ocorrências. A detecção precoce e resposta rápida podem significar a diferença entre um incidente controlado e uma violação de dados de grande escala.

Leia mais no Canaltech

• Falha de segurança na Amazon quase deixou hacker apagar dados com prompt de IA
• Haddad chama bets de “desgraça” e relatório prova: Brasil é epicentro de fraudes
• Prejuízo milionário: ignorar IA custa 35% mais caro em vazamentos de dados

Leia a matéria no Canaltech.