Key Takeaways
- Istraživači kibernetičke sigurnosti primijetili su porast broja phishing poruka e-pošte sa legitimnih adresa e-pošte.
- Tvrde da ove lažne poruke iskorištavaju nedostatak popularne Google usluge i slabe sigurnosne mjere lažnih brendova.
- Pripazite na znakove krađe identiteta, čak i kada se čini da je e-mail od legitimnog kontakta, predložite stručnjake.
Samo zato što taj e-mail ima pravo ime i ispravnu adresu e-pošte ne znači da je legitiman.
Prema istražiteljima cyber sigurnosti u Avanan-u, akteri phishinga pronašli su način da zloupotrebe Google-ov SMTP relay servis, koji im omogućava da lažiraju bilo koju Gmail adresu, uključujući i one popularnih brendova. Nova strategija napada daje legitimitet lažnoj e-pošti, dopuštajući joj da zavara ne samo primaoca, već i automatske sigurnosne mehanizme e-pošte.
"Glumci prijetnji uvijek traže sljedeći dostupni vektor napada i pouzdano pronalaze kreativne načine da zaobiđu sigurnosne kontrole poput filtriranja neželjene pošte ", rekao je za Lifewire putem e-pošte Chris Clements, potpredsjednik arhitekture rješenja u Cerberus Sentinel. "Kao što istraživanje navodi, ovaj napad je koristio uslugu Google SMTP relay, ali je nedavno došlo do porasta broja napadača koji koriste 'pouzdane' izvore."
Ne vjeruj svojim očima
Google nudi uslugu SMTP relay koju koriste korisnici Gmaila i Google Workspacea za usmjeravanje odlaznih e-poruka. Greška je, prema Avananu, omogućila phishers da šalju zlonamjerne e-poruke lažno predstavljajući bilo koju Gmail i Google Workspace adresu e-pošte. Tokom dvije sedmice u aprilu 2022., Avanan je primijetio skoro 30.000 takvih lažnih e-mailova.
U razmjeni e-pošte sa Lifewireom, Brian Kime, potpredsjednik, Intelligence Strategy and Advisory u ZeroFox-u, podijelio je da preduzeća imaju pristup nekoliko mehanizama, uključujući DMARC, Sender Policy Framework (SPF) i DomainKeys Identified Mail (DKIM), što u suštini pomaže serverima za primanje e-pošte da odbiju lažirane e-poruke, pa čak i prijave zlonamjernu aktivnost nazad lažnom brendu.
Kada ste u nedoumici, a vi biste skoro uvijek trebali biti u nedoumici, [ljudi] bi uvijek trebali koristiti pouzdane puteve… umjesto da klikaju na linkove…
"Povjerenje je ogromno za brendove. Toliko veliko da su CISO-i sve više zaduženi da vode ili pomažu napore u pogledu povjerenja u brend", podijelio je Kime.
Međutim, James McQuiggan, zagovornik svijesti o sigurnosti u KnowBe4, rekao je za Lifewire putem e-pošte da se ovi mehanizmi ne koriste u tolikoj mjeri koliko bi trebali biti, a zlonamjerne kampanje poput one koju je prijavio Avanan iskorištavaju takvu opuštenost. U svom postu, Avanan je ukazao na Netflix, koji je koristio DMARC i nije bio lažiran, dok je Trello, koji ne koristi DMARC, bio.
Kada ste u nedoumici
Clements je dodao da, iako istraživanje Avanan pokazuje da su napadači iskoristili uslugu Google SMTP relej, slični napadi uključuju kompromitovanje e-mail sistema prve žrtve, a zatim korištenje toga za dalje phishing napade na njihovu cijelu listu kontakata..
Zato je predložio da ljudi koji žele da budu sigurni od phishing napada trebaju koristiti višestruke odbrambene strategije.
Za početak, postoji napad lažiranja imena domene, gdje sajber kriminalci koriste različite tehnike da sakriju svoju adresu e-pošte s imenom nekoga koga meta možda poznaje, poput člana porodice ili nadređenog s radnog mjesta, očekujući da neće otići sklonili su se da osiguraju da e-pošta dolazi sa prikrivene adrese e-pošte, podijelio je McQuiggan.
"Ljudi ne bi trebali slijepo prihvatiti ime u polju 'Od'", upozorio je McQuiggan, dodajući da bi trebali barem izaći iza prikazanog imena i potvrditi adresu e-pošte."Ako nisu sigurni, uvijek mogu kontaktirati pošiljaoca putem sekundarne metode kao što je SMS ili telefonski poziv kako bi potvrdili da pošiljalac namjerava poslati e-poštu", predložio je.
Međutim, u SMTP relejnom napadu koji opisuje Avanan vjerovanje e-mailu gledanjem samo u adresu e-pošte pošiljatelja nije dovoljno jer će se činiti da poruka dolazi sa legitimne adrese..
"Srećom, to je jedina stvar koja razlikuje ovaj napad od uobičajenih phishing emailova", istakao je Clements. Lažna e-pošta će i dalje imati znakove krađe identiteta, što bi ljudi trebali tražiti.
Na primjer, Clements je rekao da poruka može sadržavati neobičan zahtjev, posebno ako se prenosi kao hitna stvar. Takođe bi imao nekoliko grešaka u kucanju i drugih gramatičkih grešaka. Još jedna crvena zastavica bi bile veze u e-poruci koje ne idu na uobičajenu web stranicu organizacije pošiljaoca.
"Kada ste u nedoumici, a vi biste gotovo uvijek trebali biti u nedoumici, [ljudi] bi uvijek trebali koristiti pouzdane puteve kao što je odlazak direktno na web stranicu kompanije ili pozivanje broja podrške koji je tamo naveden radi potvrde, umjesto da klikaju na linkove ili kontaktiranje brojeva telefona ili e-mailova navedenih u sumnjivoj poruci", savjetovao je Chris.
