Kluczowe dania na wynos
- Analitycy cyberbezpieczeństwa zauważyli wzrost liczby wiadomości phishingowych z legalnych adresów e-mail.
- Twierdzą, że te fałszywe wiadomości wykorzystują lukę w popularnej usłudze Google i luźne środki bezpieczeństwa podszywających się pod marki.
- Zwracaj uwagę na charakterystyczne oznaki phishingu, nawet jeśli e-mail wydaje się pochodzić od legalnego kontaktu, sugeruj ekspertom.
Tylko dlatego, że ten e-mail ma właściwą nazwę i poprawny adres e-mail, nie oznacza, że jest prawdziwy.
Według detektywów firmy Avanan zajmujących się cyberbezpieczeństwem, osoby phishingowe znalazły sposób na nadużycie usługi przekaźnika SMTP Google, która pozwala im sfałszować dowolny adres Gmaila, w tym adresy popularnych marek. Nowatorska strategia ataków nadaje legalności fałszywej wiadomości e-mail, pozwalając jej oszukać nie tylko odbiorcę, ale także zautomatyzowane mechanizmy bezpieczeństwa poczty e-mail.
„Podmioty zajmujące się zagrożeniami zawsze szukają następnego dostępnego wektora ataku i niezawodnie znajdują kreatywne sposoby na ominięcie kontroli bezpieczeństwa, takich jak filtrowanie spamu”, powiedział Lifewire Chris Clements, wiceprezes ds. architektury w Cerberus Sentinel. „Jak stwierdzono w badaniach, w tym ataku wykorzystano usługę przekaźnika SMTP Google, ale ostatnio odnotowano wzrost liczby atakujących wykorzystujących „zaufane” źródła”.
Nie ufaj swoim oczom
Google oferuje usługę przekaźnika SMTP, z której korzystają użytkownicy Gmaila i Google Workspace do kierowania wychodzących e-maili. Według Avanana ta usterka umożliwiała phisherom wysyłanie złośliwych wiadomości e-mail podszywając się pod dowolny adres e-mail Gmaila i Google Workspace. W ciągu dwóch tygodni w kwietniu 2022 r. Avanan zauważył prawie 30 000 takich fałszywych e-maili.
W wymianie e-maili z Lifewire, Brian Kime, wiceprezes ds. strategii wywiadu i doradztwa w ZeroFox, powiedział, że firmy mają dostęp do kilku mechanizmów, w tym DMARC, Sender Policy Framework (SPF) i DomainKeys Identified Mail (DKIM), które zasadniczo pomagają serwerom odbierającym pocztę e-mail odrzucać sfałszowane wiadomości e-mail, a nawet zgłaszać złośliwą aktywność z powrotem do podszywającej się marki.
Gdy masz wątpliwości, a prawie zawsze powinieneś mieć wątpliwości, [ludzie] powinni zawsze korzystać z zaufanych ścieżek… zamiast klikać linki…
„Zaufanie jest ogromne dla marek. Tak ogromne, że CISO coraz częściej ma za zadanie przewodzić lub pomagać w wysiłkach na rzecz zaufania marki”, powiedział Kime.
Jednak James McQuiggan, rzecznik świadomości bezpieczeństwa w KnowBe4, powiedział Lifewire w wiadomości e-mail, że te mechanizmy nie są tak szeroko stosowane, jak powinny, a złośliwe kampanie, takie jak ta zgłoszona przez Avanan, wykorzystują taką swobodę. W swoim poście Avanan wskazał na Netflix, który używał DMARC i nie był sfałszowany, podczas gdy Trello, który nie używa DMARC, był.
W razie wątpliwości
Clements dodał, że chociaż badanie Avanan pokazuje, że atakujący wykorzystywali usługę przekaźnika SMTP Google, podobne ataki obejmują atakowanie systemów poczty e-mail pierwszej ofiary, a następnie wykorzystywanie ich do dalszych ataków phishingowych na ich całą listę kontaktów.
Dlatego zasugerował, że ludzie chcący chronić się przed atakami phishingowymi powinni stosować wiele strategii obronnych.
Na początek mamy do czynienia z atakiem polegającym na fałszowaniu nazw domen, w ramach którego cyberprzestępcy używają różnych technik, aby ukryć swój adres e-mail wraz z imieniem osoby, którą cel może znać, na przykład członka rodziny lub przełożonego z miejsca pracy, oczekując, że nie będą ze swojej drogi, aby upewnić się, że e-mail pochodzi z zamaskowanego adresu e-mail, udostępnił McQuiggan.
„Ludzie nie powinni ślepo akceptować nazwy w polu „Od””, ostrzegł McQuiggan, dodając, że powinni przynajmniej pójść za wyświetlaną nazwą i zweryfikować adres e-mail.„Jeśli nie są pewni, zawsze mogą skontaktować się z nadawcą za pomocą dodatkowej metody, takiej jak SMS lub telefon, aby zweryfikować nadawcę, który miał wysłać wiadomość e-mail” – zasugerował.
Jednak w przypadku ataku przekaźnikowego SMTP opisanego przez Avanan zaufanie do wiadomości e-mail poprzez sprawdzenie samego adresu e-mail nadawcy nie wystarczy, ponieważ wiadomość będzie wyglądała, jakby pochodziła z legalnego adresu.
„Na szczęście jest to jedyna rzecz, która odróżnia ten atak od zwykłych wiadomości phishingowych” – wskazał Clements. Fałszywy e-mail nadal będzie nosił charakterystyczne oznaki phishingu, czego ludzie powinni szukać.
Na przykład Clements powiedział, że wiadomość może zawierać nietypową prośbę, zwłaszcza jeśli jest przekazywana jako sprawa pilna. Miałby też kilka literówek i innych błędów gramatycznych. Kolejną czerwoną flagą mogą być linki w wiadomości e-mail, które nie prowadzą do zwykłej witryny organizacji nadawców.
"W razie wątpliwości, a prawie zawsze powinieneś mieć wątpliwości, [osoby] powinny zawsze korzystać z zaufanych ścieżek, takich jak przejście bezpośrednio do witryny internetowej firmy lub dzwonienie na podany tam numer pomocy technicznej w celu weryfikacji, zamiast klikania linków lub kontaktując się z numerami telefonów lub adresami e-mail wymienionymi w podejrzanej wiadomości” – poradził Chris.
