A ironia é cortante: uma tecnologia desenvolvida justamente para proteger usuários contra ameaças cibernéticas está sendo manipulada por criminosos para torná-las ainda mais eficazes. Estamos falando do encapsulamento de links, ou link wrapping, uma prática comum em sistemas de segurança de e-mail corporativos — e agora também uma peça-chave em uma nova e sofisticada campanha de phishing Microsoft 365.
A descoberta foi feita pela equipe da Cloudflare, que observou como atacantes estão se aproveitando de ferramentas legítimas de empresas renomadas como Proofpoint e Intermedia para enganar até mesmo usuários experientes. O golpe é especialmente perigoso porque utiliza domínios aparentemente confiáveis para esconder URLs maliciosas que levam a páginas falsas de login do Microsoft Office 365. Neste artigo, você vai entender:
- O que é link wrapping e qual é seu propósito original;
- Como os atacantes distorcem essa tecnologia para realizar ataques de phishing no Office 365;
- Por que esse método é tão eficaz — e perigoso;
- E, claro, como se proteger dessa ameaça crescente.
Com milhões de usuários em todo o mundo, o Microsoft 365 é um dos principais alvos de cibercriminosos. Perder credenciais de acesso a essa plataforma pode significar desde vazamento de dados pessoais até comprometimento de operações inteiras em empresas.
O que é o encapsulamento de links (link wrapping)?
Imagine que toda mensagem que você recebe com um link seja entregue por um carteiro de confiança. Antes de te entregar o envelope, ele o abre, examina o conteúdo e, se julgar seguro, coloca o pacote dentro de um novo envelope com o selo “verificado”. Isso é, em essência, o link wrapping.
O objetivo dessa técnica é reescrever links recebidos por e-mail, redirecionando-os inicialmente por um servidor de segurança, onde são verificados em tempo real. Se o link levar a um conteúdo perigoso, como malware ou páginas de phishing, o sistema bloqueia o acesso. Caso contrário, ele permite a navegação normalmente.
Empresas como Proofpoint e Intermedia usam amplamente essa prática para proteger colaboradores de ataques cibernéticos. No entanto, como veremos a seguir, os criminosos encontraram uma forma de abusar dessa proteção.
A anatomia do novo ataque de phishing
Segundo o relatório da Cloudflare, os atacantes desenvolveram um método engenhoso para explorar o link wrapping. A seguir, explicamos como funciona esse golpe passo a passo.
A isca: E-mails falsos e engenharia social
O ataque começa com uma isca cuidadosamente elaborada. As mensagens costumam se passar por notificações legítimas de serviços do ecossistema Microsoft, como:
- Correio de voz com suposto anexo de áudio;
- Mensagens do Microsoft Teams;
- Documentos “seguros” enviados pela empresa Zix (também especializada em segurança).
Esses e-mails parecem autênticos e são enviados a partir de contas que já foram comprometidas anteriormente, o que aumenta sua credibilidade.
A arma: Abusando da confiança no link “seguro”
A genialidade do ataque está aqui. O link enviado pelo criminoso já pode estar disfarçado usando um serviço de encurtamento de URLs (como Bitly), mas o grande trunfo é quando ele é reescrito automaticamente pelo sistema de link wrapping de uma ferramenta de segurança.
Por exemplo, o URL malicioso acaba transformado em algo como:
https://urldefense.proofpoint.com/v2/url?u=https-<link-malicioso>
O destinatário, vendo o domínio “proofpoint.com”, tende a confiar na URL. Afinal, ela aparenta ter passado por um sistema de segurança confiável.
O destino final: A página de roubo de credenciais
Ao clicar no link, o usuário passa por uma série de redirecionamentos discretos. No fim do trajeto, ele chega a uma página falsa de login do Microsoft 365 — muitas vezes indistinguível da original.
Ao digitar nome de usuário e senha, os dados são enviados diretamente aos atacantes, que então acessam o ambiente corporativo da vítima, podendo baixar e-mails, arquivos confidenciais e até realizar novos envios de phishing usando a conta comprometida.
Por que este método é tão perigoso?
O grande diferencial desse golpe é que ele contorna a intuição básica de segurança do usuário. Normalmente, ao ver um link estranho, a pessoa tende a hesitar. Mas, ao observar um domínio como proofpoint.com ou intermedia.net, essa barreira de desconfiança se dissolve.
Além disso, mesmo usuários avançados — como profissionais de TI, administradores de sistemas ou usuários de Linux que interagem com ambientes Microsoft — podem ser enganados. Afinal, essas URLs são comuns no cotidiano corporativo e passam despercebidas por filtros humanos e automáticos.
Outro fator preocupante é a possibilidade de ataques em cadeia. Uma vez que um usuário é comprometido, o criminoso pode enviar e-mails internos para colegas da mesma empresa, ampliando o impacto do ataque com ainda mais credibilidade.
Conclusão: Como se proteger contra essa ameaça sofisticada
Os cibercriminosos estão sempre buscando formas de inverter a lógica da segurança digital, usando ferramentas protetivas contra os próprios usuários. O caso do link wrapping é mais um exemplo de como a confiança pode ser manipulada — e por isso a vigilância constante é essencial.
A seguir, algumas dicas práticas para se proteger:
- Desconfie sempre: Não importa o domínio do link. Se a mensagem for inesperada, especialmente com urgência ou pedidos incomuns, desconfie.
- Passe o mouse sobre os links: Antes de clicar, posicione o cursor sobre o link e verifique na barra inferior do navegador para onde ele realmente aponta.
- Habilite a Autenticação Multifator (MFA): Mesmo que sua senha seja comprometida, a MFA pode impedir que o criminoso acesse sua conta.
- Verifique por outro canal: Recebeu um pedido de alteração de senha, transferência de arquivos ou acesso a documentos? Confirme com o remetente por telefone ou outro meio confiável.
- Compartilhe o conhecimento: Informe colegas, amigos e familiares sobre esse novo golpe. A prevenção coletiva é uma das melhores defesas.
