Хакерите са намерили начин да измамят всеки адрес в Gmail

May 04, 2022
ВНовини Интернет сигурност

Изследователите на киберсигурността са забелязали нарастване на фишинг имейлите от легитимни имейл адреси.
Те твърдят, че тези фалшиви съобщения се възползват от недостатък в популярна услуга на Google и отслабват мерките за сигурност от имитираните марки.
Следете за сигнални признаци на фишинг, дори когато имейлът изглежда е от легитимен контакт, препоръчват експерти.

Смартфон и маса с макетни фишинг имейли, показани на екрана, седнали пред клавиатурата на лаптоп. — BestforBest / Getty Images

Само защото този имейл има правилното име и правилен имейл адрес, не означава, че е легитимен.

Според специалисти по киберсигурност в Avanan, фишинг участници са намерили начин да злоупотребят с услугата за SMTP реле на Google, която им позволява да измамете всеки адрес в Gmail, включително тези на популярни марки. Новата стратегия за атака придава легитимност на измамния имейл, позволявайки му да заблуди не само получателя, но и автоматизираните механизми за сигурност на имейла.

„Деятелите на заплахи винаги търсят следващия наличен вектор на атака и надеждно намират креативни начини за заобикаляне на контролите за сигурност, като филтриране на спам“,

Крис Клементс, VP Solutions Architecture at Цербер Сентинел, каза пред Lifewire по имейл. „Както се посочва в изследването, тази атака е използвала услугата за прехвърляне на SMTP на Google, но напоследък има нарастване на нападателите, използващи „доверени“ източници.“

Не се доверявайте на очите си

Google предлага услуга за SMTP реле, която се използва от потребителите на Gmail и Google Workspace за маршрутизиране на изходящи имейли. Недостатъкът, според Avanan, е позволил на фишърите да изпращат злонамерени имейли, като се представят за всеки имейл адрес в Gmail и Google Workspace. През две седмици през април 2022 г. Аванън забеляза близо 30 000 такива фалшиви имейла.

При обмен на имейл с Lifewire, Брайън Киме, вицепрезидент, разузнавателна стратегия и консултации в ZeroFox, сподели, че бизнесите имат достъп до няколко механизма, включително DMARC, Sender Policy Framework (SPF) и DomainKeys Identified Mail (DKIM), които по същество помагат на получаващите имейл сървъри да отхвърлят фалшиви имейли и дори докладват за злонамерената дейност обратно на имитирания марка.

„Когато се съмнявате и почти винаги трябва да се съмнявате, [хората] винаги трябва да използват доверени пътища... вместо да щракнете върху връзки..."

„Доверието е огромно за марките. Толкова огромни, че CISO все по-често имат задачата да ръководят или подпомагат усилията за доверие на марката“, сподели Киме.

Въпреки това, Джеймс Маккуигън, защитник на осведомеността за сигурност в KnowBe4, каза пред Lifewire по имейл, че тези механизми не са толкова широко използвани, колкото би трябвало да бъдат, и злонамерени кампании като тази, съобщена от Avanan, се възползват от такава слабост. В публикацията си Avanan посочи Netflix, който използва DMARC и не беше подправен, докато Trello, който не използва DMARC, беше.

Когато се съмнявате

Клементс добави, че докато проучването на Avanan показва, че нападателите са използвали услугата за прехвърляне на SMTP на Google, подобни атаки включват компрометиране на имейл системите на първоначалната жертва и след това използване на това за допълнителни фишинг атаки върху целия им контакт списък.

Ето защо той предложи хората, които искат да останат в безопасност от фишинг атаки, трябва да използват множество защитни стратегии.

Като за начало, има атака за спуфинг на име на домейн, при която киберпрестъпниците използват различни техники, за да скрият имейл адреса си с името на някой, когото целта може да познава, като член на семейството или висшестоящ от работното място, очаквайки от тях да не се стремят да се уверят, че имейлът идва от прикрития имейл адрес, споделен Маккуигън.

„Хората не бива да приемат сляпо името в полето „От““, предупреди Маккуигън, добавяйки, че трябва поне да минат зад екранното име и да проверят имейл адреса. „Ако не са сигурни, те винаги могат да се свържат с подателя чрез вторичен метод като текстово съобщение или телефонно обаждане, за да потвърдят, че подателят е предназначен да изпрати имейла“, предложи той.

Въпреки това, в SMTP релейната атака, описана от Avanan, доверието на имейл само чрез разглеждане на имейл адреса на подателя не е достатъчно, тъй като съобщението изглежда идва от легитимен адрес.

„За щастие, това е единственото нещо, което отличава тази атака от обикновените фишинг имейли“, посочи Клементс. Измамният имейл все още ще има сигнални признаци на фишинг, което хората трябва да търсят.

Например, Клементс каза, че съобщението може да съдържа необичайна молба, особено ако е предадена като спешен въпрос. Освен това ще има няколко правописни и други граматически грешки. Друг червен флаг ще бъдат връзките в имейла, които не отиват към обичайния уебсайт на организацията изпращач.

„Когато се съмнявате и почти винаги трябва да се съмнявате, [хората] винаги трябва да използват доверени пътища, като например да отиват директно до уебсайта на компанията или да се обадите на номера за поддръжка, посочен там, за да потвърдите, вместо да щракнете върху връзки или да се свържете с телефонни номера или имейли, посочени в подозрителното съобщение", посъветва Крис.