Ключови изводи
- Изследователите на киберсигурността са забелязали ръст във фишинг имейлите от легитимни имейл адреси.
- Те твърдят, че тези фалшиви съобщения се възползват от пропуск в популярна услуга на Google и слаби мерки за сигурност от имитираните марки.
- Внимавайте за издайнически признаци на фишинг, дори когато имейлът изглежда като от легитимен контакт, предложете експерти.
Само защото този имейл има правилното име и правилен имейл адрес, не означава, че е легитимен.
Според детективите по киберсигурност в Avanan, фишинг участниците са намерили начин да злоупотребят с услугата за SMTP препредаване на Google, която им позволява да измамят всеки адрес в Gmail, включително тези на популярни марки. Новата стратегия за атака придава легитимност на измамния имейл, позволявайки му да заблуди не само получателя, но и автоматизираните механизми за сигурност на имейла.
„Акторите на заплахи винаги търсят следващия наличен вектор за атака и надеждно намират креативни начини за заобикаляне на контролите за сигурност като филтриране на нежелана поща“, каза Крис Клементс, вицепрезидент по архитектура на решенията в Cerberus Sentinel, каза пред Lifewire по имейл. „Както се посочва в изследването, тази атака е използвала услугата за SMTP препредаване на Google, но напоследък се наблюдава увеличение на броя на нападателите, използващи „доверени“източници.“
Не вярвайте на очите си
Google предлага услуга за SMTP препредаване, която се използва от потребителите на Gmail и Google Workspace за маршрутизиране на изходящи имейли. Пропускът, според Аванан, позволява на фишърите да изпращат злонамерени имейли, като се представят за всеки имейл адрес на Gmail и Google Workspace. През две седмици през април 2022 г. Avanan забеляза близо 30 000 такива фалшиви имейла.
В обмен на имейли с Lifewire, Брайън Кайм, вицепрезидент, разузнавателна стратегия и съвети в ZeroFox, сподели, че фирмите имат достъп до няколко механизма, включително DMARC, рамка за политика на изпращача (SPF) и идентифицирана поща с домейн ключове (DKIM), които по същество помагат на сървърите за получаване на имейли да отхвърлят фалшиви имейли и дори да докладват за злонамерената дейност обратно на имитираната марка.
Когато се съмнявате, а вие почти винаги трябва да се съмнявате, [хората] винаги трябва да използват надеждни пътища… вместо да кликват върху връзки…
"Доверието е огромно за брандовете. Толкова голямо, че на CISO все по-често се възлага задачата да ръководят или подпомагат усилията за доверие на дадена марка", сподели Kime.
Въпреки това, Джеймс Маккуиган, защитник на осведомеността за сигурността в KnowBe4, каза на Lifewire по имейл, че тези механизми не се използват толкова широко, колкото би трябвало, и злонамерени кампании като тази, докладвана от Avanan, се възползват от такава небрежност. В публикацията си Avanan посочи Netflix, който използва DMARC и не беше подправен, докато Trello, който не използва DMARC, беше.
Когато се съмнявате
Clements добави, че докато изследването на Avanan показва, че нападателите са експлоатирали услугата за препредаване на SMTP на Google, подобни атаки включват компрометиране на първоначалните имейл системи на жертвата и след това използване на това за по-нататъшни фишинг атаки на целия им списък с контакти.
Ето защо той предложи на хората, които искат да останат в безопасност от фишинг атаки, да използват множество защитни стратегии.
Като начало, има атака за подправяне на име на домейн, при която киберпрестъпниците използват различни техники, за да скрият своя имейл адрес с името на някого, когото целта може да познава, като член на семейството или началник от работното място, очаквайки да не отиде от пътя им, за да се уверят, че имейлът идва от прикрития имейл адрес, сподели McQuiggan.
„Хората не трябва сляпо да приемат името в полето „От“, предупреди Маккуигън, добавяйки, че трябва поне да отидат зад показваното име и да потвърдят имейл адреса.„Ако не са сигурни, винаги могат да се свържат с подателя чрез вторичен метод като текстово съобщение или телефонно обаждане, за да потвърдят подателя, който е възнамерявал да изпрати имейла“, предложи той.
Въпреки това, при SMTP препредаващата атака, описана от Avanan, доверяването на имейл само чрез разглеждане на имейл адреса на подателя не е достатъчно, тъй като съобщението ще изглежда като идващо от легитимен адрес.
"За щастие, това е единственото нещо, което отличава тази атака от нормалните фишинг имейли", посочи Клементс. Измамният имейл все още ще има признаци на фишинг, което хората трябва да търсят.
Например, Клементс каза, че съобщението може да съдържа необичайна молба, особено ако е предадена като спешен въпрос. Освен това ще има няколко правописни и други граматически грешки. Друг червен флаг биха били връзките в имейла, които не водят до обичайния уебсайт на изпращащата организация.
"Когато се съмнявате, а вие почти винаги трябва да се съмнявате, [хората] винаги трябва да използват надеждни пътища, като например да отидат директно на уебсайта на компанията или да се обадят на номера за поддръжка, посочен там, за да проверят, вместо да кликват върху връзки или свържете се с телефонните номера или имейлите, посочени в подозрителното съобщение“, посъветва Крис.