מתקפת דיוג בקנה מידה עצום ניצלה כשל אבטחה במערכות סינון הדואר האלקטרוני של חברת Proofpoint כדי לשלוח בממוצע שלוש מיליון הודעות מזויפות ביום. ההודעות המתיימרות להיות מדיסני, יבמ, נייקי, בסט ביי וקוקה קולה – כולן לקוחות Proofpoint. בכל הנוגע לקורבנות, הם קיבלו לכאורה מיילים אמיתיים מתאגידים גדולים, עם מסגרת מדיניות שולח (SPF) מאומתת כהלכה וחתימות DomainKeys Identified Mail (DKIM) – המעידות למשתמשים ולאפליקציות האימייל שלהם שהשולחים הינם חוקיים ומהימנים. המיילים המזויפים ניסו למשל לשכנע את קורבנות המתקפה לעבור לאתרים זדוניים אשר ניסו לגנוב את פרטי כרטיס האשראי שלהם, בהצעה לחידוש מנוי מקוון במחיר נמוך במיוחד. אנשים שהקלידו את פרטי הכרטיס שלהם למעשה חוייבו יותר מפי 100 בחודש, ללא שום תמורה.
מתקפת הדיוג נמשכה מינואר עד יוני ובזמני השיא הגיעה ל- 14 מיליון אימיילים בפרק זמן של 24 שעות, על פי Guardio Security, שהודיעה לחברת Proofpoint במאי על החולשה הניתנת לניצול וכן, סייעה במאמצי עצירת מתקפת הדיוג. חברת Guardio כינתה את מתקפת הדיוג בשם EchoSpoofing – מכיוון שהדואר זבל "הדהד" משרתי ממסר דוא"ל אשר נמצאים בבעלות Proofpoint ומופעלים על ידה.
Proofpoint, שאמרה כי זיהתה את מסע הספאם בסוף מרץ, הודתה כי פושעי סייבר ניצלו מספר קטן מחשבונות Microsoft 365 של לקוחותיה, והוסיפה: "בעיה זו לא חשפה נתוני לקוחות של Proofpoint ואף לקוח לא חווה אבדן מידע כלשהו."
שולחי הספאם ניצלו לרעה תכונת ניתוב דוא"ל לא מאובטחת כברירת מחדל של Proofpoint כדי לשלוח הודעות עם חתימות SPF ו- DKIM חוקיות של תאגידים מובילים באמצעות ממסרי האימייל של Proofpoint. ארגונים גדולים כמו דיסני משתמשים ב- Microsoft 365 לטיפול בדואר שלהם, אך מנתבים הודעות נכנסות ויוצאות דרך המערכות של Proofpoint שפועלות כמסנן אבטחה. באופן מכריע, ההגדרה של דיסני, עם סינון ה- Proofpoint שלה, הבטיחה שהדואר היוצא שלה דרך Proofpoint נראה לנמענים כאילו הוא מגיע רשמית מדיסני עם כל החתימות הנכונות של SPF ו- DKIM. זו רמת האמון שנוצלה לרעה על ידי פושעי הסייבר כדי לשלוח את כל ההודעות.
כדי לפתור את הבעיה הטמיעה Proofpoint ממשק אדמיניסטרטיבי עבור לקוחות כדי לציין אילו דיירי M365 רשאים להעביר דוא"ל, כאשר כל שאר דיירי M365 נדחו כברירת מחדל. לקוחות Proofpoint Essentials לא הושפעו ממתקפת הדיוג, מכיוון שהגדרות התצורה כבר מוגדרות כדי למנוע שימוש לרעה בממסר לא מורשה.