Cisco Safe Links, частина Secure Email Gateway, має можливість перезаписувати потенційно небезпечні URL-адреси, щоб перенаправляти користувачів через інфраструктуру Cisco для захисту від загроз. Хоча в більшості випадків це ефективно, зловмисники знайшли способи генерувати легітимні безпечні посилання для використання в зловмисних цілях, інформує Oberig IT.
Найпоширеніший метод полягає у використанні зламаних облікових записів всередині організацій, захищених Cisco. Потім ці облікові записи використовуються для надсилання електронних листів зі шкідливими посиланнями на самі себе, в результаті чого система автоматично перезаписує шкідливі посилання в «безпечні посилання». Інші методи, які можуть бути використані, включають використання інших SaaS-сервісів, які покладаються на служби захисту Cisco для генерації безпечних посилань, або перепрофілювання раніше активних безпечних посилань.
У зареєстрованих атаках, в яких використовувалися електронні листи з проханням про перевірку документів від служби електронного підпису, зловмисники покладалися на довіру до доменів Cisco, таких як «secure-web.cisco.com», щоб обійти фільтрацію електронної пошти. Для цього вони зловживають довірчим статусом цих доменів у деяких системах фільтрації, що потенційно може дозволити електронним листам, надісланим з цих доменів, проходити з мінімальною перевіркою.