A 2025 júniusa és júliusa közötti időszakban a Cloudflare Email Security kutatói egy kifinomult adathalász kampányra figyeltek fel, amely során a támadók neves e-mail biztonsági cégek többek között a Proofpoint és az Intermedia link wrapping funkcióját használták ki. A cél az volt, hogy a felhasználókat megtévesszék, és így megszerezzék a Microsoft 365-fiókokhoz tartozó bejelentkezési adatokat.
A link wrapping olyan biztonsági technológia, amely az e-mailes linkeket átírja egy megbízható, védett domainre mutató hivatkozássá. Ez lehetővé teszi a valós idejű ellenőrzést és a veszélyes céloldalak szűrését. A támadók azonban kompromittált, már védett e-mail fiókokból küldtek ki üzeneteket, így a rosszindulatú linkeket a rendszer automatikusan “megtisztítva” kezelte.
A támadás többlépcsős volt: a támadók először URL rövidítő (URL shortening) szolgáltatással (pl. Bitly) elrejtették a phishing oldalak címét, majd a link wrapping funkció segítségével megbízhatónak tűnő hivatkozássá formálták őket. A céloldal végül egy hamis Microsoft 365 bejelentkezési oldal volt, ahol az áldozatok önként adták meg hitelesítő adataikat.
A csali e-mailek jellemzően hamis Microsoft Teams értesítéseket vagy „biztonságos dokumentummegosztásokat” tartalmaztak, például „Zix Secure Message” üzenetként álcázva.
Bár a legitim szolgáltatások támadásokhoz való felhasználása nem új keletű, a link wrapping visszaélése új szintre emeli a fenyegetést. A támadások különösen nehezen észlelhetők, mivel a használt domainek megbízhatónak tűnnek a rendszerek és a felhasználók számára is.