Recomandări cheie
- Cercetătorii în domeniul securității cibernetice au observat o creștere a e-mailurilor de phishing de la adrese de e-mail legitime.
- Ei susțin că aceste mesaje false profită de o defecțiune a unui serviciu Google popular și de măsurile de securitate laxe ale mărcilor uzurpate.
- Fii atent la semne de phishing, chiar și atunci când e-mailul pare a fi de la o persoană de contact legitimă, sugerează experți.
Doar pentru că acel e-mail are numele corect și o adresă de e-mail corectă nu înseamnă că este legitim.
Conform cercetătorilor de securitate cibernetică de la Avanan, actorii de phishing au găsit o modalitate de a abuza de serviciul de retransmisie SMTP al Google, care le permite să falsifice orice adresă Gmail, inclusiv pe cele ale mărcilor populare. Noua strategie de atac conferă legitimitate e-mailurilor frauduloase, lăsându-l să păcălească nu doar destinatarul, ci și mecanismele automate de securitate ale e-mailului.
„Actorii de amenințări caută mereu următorul vector de atac disponibil și găsesc în mod fiabil modalități creative de a ocoli controalele de securitate, cum ar fi filtrarea spam-ului”, a declarat Chris Clements, VP Solutions Architecture la Cerberus Sentinel, pentru Lifewire prin e-mail. „După cum arată cercetarea, acest atac a folosit serviciul de retransmisie SMTP Google, dar a existat o creștere recentă a atacatorilor care folosesc surse „de încredere”.”
Nu ai încredere în ochii tăi
Google oferă un serviciu de retransmisie SMTP care este utilizat de utilizatorii Gmail și Google Workspace pentru a direcționa e-mailurile trimise. Defectul, potrivit lui Avanan, a permis phisher-ilor să trimită e-mailuri rău intenționate prin uzurparea identității oricărei adrese de e-mail Gmail și Google Workspace. Pe parcursul a două săptămâni din aprilie 2022, Avanan a observat aproape 30.000 de astfel de e-mailuri false.
Într-un schimb de e-mail cu Lifewire, Brian Kime, VP, Intelligence Strategy and Advisory la ZeroFox, a spus că companiile au acces la mai multe mecanisme, inclusiv DMARC, Sender Policy Framework (SPF) și DomainKeys Identified Mail (DKIM), care în esență ajută la primirea serverelor de e-mail să respingă e-mailurile falsificate și chiar să raporteze activitatea rău intenționată brandului uzurpat.
Când aveți îndoieli și ar trebui să aveți aproape întotdeauna îndoieli, [oamenii] ar trebui să folosească întotdeauna căi de încredere… în loc să dați clic pe linkuri…
„Încrederea este uriașă pentru mărci. Atât de mare încât CISO sunt din ce în ce mai însărcinați să conducă sau să ajute eforturile de încredere ale unei mărci”, a spus Kime.
Cu toate acestea, James McQuiggan, avocat al conștientizării securității la KnowBe4, a declarat pentru Lifewire prin e-mail că aceste mecanisme nu sunt atât de utilizate pe scară largă pe cât ar trebui, iar campaniile rău intenționate precum cea raportată de Avanan profită de o astfel de laxitate. În postarea lor, Avanan a indicat Netflix, care a folosit DMARC și nu a fost falsificat, în timp ce Trello, care nu folosește DMARC, a fost.
Când aveți îndoieli
Clements a adăugat că, deși cercetarea Avanan arată că atacatorii au exploatat serviciul de retransmisie SMTP Google, atacuri similare includ compromiterea sistemelor de e-mail ale unei victime inițiale și apoi utilizarea acestora pentru alte atacuri de phishing pe întreaga lor listă de contacte.
De aceea a sugerat persoanelor care doresc să fie protejate de atacurile de tip phishing să folosească mai multe strategii defensive.
Pentru început, există atacul de falsificare a numelui de domeniu, în care infractorii cibernetici folosesc diverse tehnici pentru a-și ascunde adresa de e-mail cu numele unei persoane pe care o poate cunoaște ținta, cum ar fi un membru al familiei sau un superior de la locul de muncă, așteptându-se să nu meargă. să se asigure că e-mailul provine de la adresa de e-mail mascată, a spus McQuiggan.
„Oamenii nu ar trebui să accepte orbește numele în câmpul „De la””, a avertizat McQuiggan, adăugând că ar trebui să meargă cel puțin în spatele numelui afișat și să verifice adresa de e-mail.„Dacă nu sunt siguri, pot oricând să contacteze expeditorul printr-o metodă secundară, cum ar fi un mesaj text sau un apel telefonic, pentru a verifica expeditorul menit să trimită e-mailul”, a sugerat el.
Totuși, în atacul de retransmisie SMTP descris de Avanan, să ai încredere într-un e-mail doar privind adresa de e-mail a expeditorului nu este suficient, deoarece mesajul va părea să provină de la o adresă legitimă.
„Din fericire, acesta este singurul lucru care diferențiază acest atac de e-mailurile normale de phishing”, a subliniat Clements. E-mailul fraudulos va avea în continuare semne de phishing, care este ceea ce oamenii ar trebui să caute.
De exemplu, Clements a spus că mesajul ar putea conține o solicitare neobișnuită, mai ales dacă este transmis ca o chestiune urgentă. De asemenea, ar avea mai multe greșeli de scriere și alte greșeli gramaticale. Un alt semnal roșu ar fi linkurile din e-mail care nu ajung la site-ul web obișnuit al organizației expeditorului.
"Când aveți îndoieli și aproape întotdeauna ar trebui să aveți îndoieli, [oamenii] ar trebui să utilizeze întotdeauna căi de încredere, cum ar fi accesarea directă a site-ului web al companiei sau apelarea la numărul de asistență afișat acolo pentru a verifica, în loc să facă clic pe linkuri sau contactând numerele de telefon sau e-mailurile enumerate în mesajul suspect”, a sfătuit Chris.
