Kľúčové poznatky
- Výskumníci kybernetickej bezpečnosti zaznamenali nárast phishingových e-mailov z legitímnych e-mailových adries.
- Tvrdia, že tieto falošné správy využívajú chybu v obľúbenej službe Google a laxné bezpečnostné opatrenia vydávaných značiek.
- Dávajte si pozor na náznaky phishingu, aj keď sa zdá, že e-mail pochádza od legitímneho kontaktu, navrhujú odborníci.
To, že tento e-mail má správne meno a správnu e-mailovú adresu, neznamená, že je legitímny.
Podľa kyberbezpečnostných detektívov zo spoločnosti Avanan našli phishingoví hráči spôsob, ako zneužiť službu prenosu SMTP od spoločnosti Google, ktorá im umožňuje sfalšovať akúkoľvek adresu Gmailu vrátane adries obľúbených značiek. Nová stratégia útokov prepožičiava podvodnému e-mailu legitimitu a umožňuje mu oklamať nielen príjemcu, ale aj automatické mechanizmy zabezpečenia e-mailu.
„Agenti hrozieb vždy hľadajú ďalší dostupný vektor útoku a spoľahlivo nachádzajú kreatívne spôsoby, ako obísť bezpečnostné kontroly, ako je filtrovanie spamu,“povedal pre Lifewire e-mailom Chris Clements, viceprezident pre architektúru riešení v Cerberus Sentinel. „Ako sa uvádza vo výskume, tento útok využíval službu prenosu SMTP od spoločnosti Google, ale nedávno došlo k nárastu počtu útočníkov využívajúcich „dôveryhodné“zdroje.“
Neverte svojim očiam
Google ponúka službu prenosu SMTP, ktorú používajú používatelia Gmailu a Google Workspace na smerovanie odchádzajúcich e-mailov. Chyba podľa Avanana umožnila phisherom odosielať škodlivé e-maily odcudzením identity akejkoľvek e-mailovej adresy Gmailu a Google Workspace. Počas dvoch týždňov v apríli 2022 si Avanan všimol takmer 30 000 takýchto falošných e-mailov.
V e-mailovej výmene s Lifewire Brian Kime, viceprezident, Intelligence Strategy and Advisory v ZeroFox, uviedol, že firmy majú prístup k niekoľkým mechanizmom vrátane DMARC, Sender Policy Framework (SPF) a DomainKeys Identified Mail (DKIM), ktoré v podstate pomáhajú prijímacím e-mailovým serverom odmietať sfalšované e-maily a dokonca nahlasovať škodlivú aktivitu späť na vydávanú značku.
V prípade pochybností a takmer vždy by ste mali mať pochybnosti, [ľudia] by mali vždy používať dôveryhodné cesty… namiesto klikania na odkazy…
„Dôvera je pre značky obrovská. Tak veľká, že CISO majú čoraz väčšiu úlohu viesť alebo pomáhať značke v úsilí o dôveru,“zdieľa Kime.
Avšak James McQuiggan, zástanca povedomia o bezpečnosti v KnowBe4, povedal Lifewire e-mailom, že tieto mechanizmy nie sú tak široko používané, ako by mali byť, a škodlivé kampane, ako napríklad tá, ktorú uvádza Avanan, využívajú takúto laxnosť. Avanan vo svojom príspevku poukázal na Netflix, ktorý používal DMARC a nebol sfalšovaný, zatiaľ čo Trello, ktorý nepoužíva DMARC, bol.
Keď máte pochybnosti
Clements dodal, že zatiaľ čo výskum Avanan ukazuje, že útočníci zneužívali službu prenosu SMTP Google, podobné útoky zahŕňajú kompromitovanie e-mailových systémov prvej obete a ich následné použitie na ďalšie phishingové útoky na celý ich zoznam kontaktov.
Preto navrhol ľuďom, ktorí chcú zostať v bezpečí pred phishingovými útokmi, aby použili viaceré obranné stratégie.
Na začiatok je tu útok falšovania názvu domény, pri ktorom počítačoví zločinci používajú rôzne techniky na skrytie svojej e-mailovej adresy s menom niekoho, koho môže cieľ poznať, napríklad člena rodiny alebo nadriadeného z pracoviska, pričom očakávajú, že nepôjdu z cesty, aby zabezpečili, že e-mail prichádza zo skrytej e-mailovej adresy, ktorú zdieľal McQuiggan.
"Ľudia by nemali slepo akceptovať meno v poli 'Od'," varoval McQuiggan a dodal, že by mali ísť aspoň za zobrazované meno a overiť e-mailovú adresu.„Ak si nie sú istí, vždy sa môžu spojiť s odosielateľom prostredníctvom sekundárnej metódy, ako je textová správa alebo telefonát, aby si overili odosielateľa, ktorý chcel odoslať e-mail,“navrhol.
Avšak pri SMTP prenosovom útoku opísanom Avananom dôverovať e-mailu len pohľadom na e-mailovú adresu odosielateľa nestačí, pretože správa bude vyzerať, že pochádza z legitímnej adresy.
„Našťastie je to jediná vec, ktorá odlišuje tento útok od bežných phishingových e-mailov,“upozornil Clements. Podvodný e-mail bude mať stále známky phishingu, čo by ľudia mali hľadať.
Clements napríklad povedal, že správa môže obsahovať nezvyčajnú požiadavku, najmä ak je doručená ako naliehavá záležitosť. Tiež by obsahoval niekoľko preklepov a iných gramatických chýb. Ďalšou červenou vlajkou by boli odkazy v e-maile, ktoré nesmerujú na bežnú webovú stránku odosielajúcej organizácie.
„V prípade pochybností a takmer vždy by ste mali mať pochybnosti, [ľudia] by mali vždy použiť dôveryhodné cesty, ako napríklad prejsť priamo na webovú stránku spoločnosti alebo zavolať na číslo podpory, ktoré je tam uvedené, namiesto klikania na odkazy alebo kontaktovanie telefónnych čísel alebo e-mailov uvedených v podozrivej správe,“poradil Chris.