Hackeři našli způsob, jak podvrhnout jakoukoli adresu Gmailu

May 04, 2022
VZprávy Internetová Bezpečnost

Výzkumníci v oblasti kybernetické bezpečnosti zaznamenali nárůst phishingových e-mailů z legitimních e-mailových adres.
Tvrdí, že tyto falešné zprávy využívají chyby v oblíbené službě Google a laxních bezpečnostních opatření ze strany zosobněných značek.
Dávejte si pozor na známky phishingu, i když se zdá, že e-mail pochází od legitimního kontaktu, navrhují odborníci.

Smartphone a stůl s maketovými phishingovými e-maily zobrazenými na obrazovce, sedící před klávesnicí notebooku. — BestforBest / Getty Images

To, že má tento e-mail správné jméno a správnou e-mailovou adresu, ještě neznamená, že je legitimní.

Podle kyberbezpečnostních detektivů ze společnosti Avanan našli phishingoví aktéři způsob, jak zneužít službu přenosu SMTP společnosti Google, která jim umožňuje podvrhnout jakoukoli adresu Gmailu, včetně značek oblíbených značek. Nová strategie útoku propůjčuje podvodnému e-mailu legitimitu a umožňuje oklamat nejen příjemce, ale také automatické mechanismy zabezpečení e-mailů.

"Aktéři hrozeb vždy hledají další dostupný vektor útoku a spolehlivě nacházejí kreativní způsoby, jak obejít bezpečnostní kontroly, jako je filtrování spamu,"

Chris Clements, VP Solutions Architecture ve společnosti Cerberus Sentinel, řekl Lifewire e-mailem. "Jak uvádí výzkum, tento útok využíval přenosovou službu Google SMTP, ale nedávno došlo k nárůstu útočníků využívajících "důvěryhodné" zdroje."

Nevěřte svým očím

Google nabízí službu přenosu SMTP, kterou používají uživatelé Gmailu a Google Workspace ke směrování odchozích e-mailů. Chyba podle Avanana umožnila phisherům posílat škodlivé e-maily tím, že se vydávali za jakoukoli e-mailovou adresu Gmailu a Google Workspace. Během dvou týdnů v dubnu 2022 si Avanan všiml téměř 30 000 takových falešných e-mailů.

V e-mailové výměně s Lifewire, Brian Kime, VP, Intelligence Strategy and Advisory at ZeroFox, uvedl, že podniky mají přístup k několika mechanismům, včetně DMARC, Sender Policy Framework (SPF) a DomainKeys Identified Mail (DKIM), které v podstatě pomáhají přijímajícím e-mailovým serverům odmítat falešné e-maily a dokonce hlásit škodlivou aktivitu zpět značka.

"Když jste na pochybách, a vy byste měli být na pochybách téměř vždy, měli by [lidé] vždy používat důvěryhodné cesty... místo klikání na odkazy...“

„Důvěra ke značkám je obrovská. Tak obrovské, že CISO mají stále více za úkol vést nebo pomáhat značce v úsilí o důvěru,“ řekl Kime.

Nicméně, James McQuiggan, obhájce bezpečnostního povědomí KnowBe4, sdělil Lifewire e-mailem, že tyto mechanismy nejsou tak široce používány, jak by měly být, a škodlivé kampaně, jako je ta, kterou uvádí Avanan, využívají takové laxnosti. Ve svém příspěvku Avanan poukázal na Netflix, který používal DMARC a nebyl podvržený, zatímco Trello, který nepoužívá DMARC, ano.

Když na pochybách

Clements dodal, že zatímco výzkum Avanan ukazuje, že útočníci zneužívali službu přenosu SMTP Google, podobné útoky zahrnují kompromitování e-mailových systémů první oběti a jejich následné použití k dalším phishingovým útokům na celý jejich kontakt seznam.

Proto navrhl, aby lidé, kteří chtějí zůstat v bezpečí před phishingovými útoky, používali více obranných strategií.

Pro začátek je tu útok falšování názvu domény, kde kyberzločinci používají různé techniky ke skrytí své e-mailové adresy se jménem někoho, koho cíl může znát, jako rodinný příslušník nebo nadřízený z pracoviště, který očekává, že se nebudou snažit zajistit, aby e-mail přišel ze skryté e-mailové adresy, sdílené McQuiggan.

"Lidé by neměli slepě přijímat jméno v poli 'Od'," varoval McQuiggan a dodal, že by měli jít alespoň za zobrazované jméno a ověřit e-mailovou adresu. "Pokud si nejsou jisti, mohou vždy kontaktovat odesílatele prostřednictvím sekundární metody, jako je textová zpráva nebo telefonní hovor, aby ověřili odesílatele, který chtěl e-mail odeslat," navrhl.

V SMTP reléovém útoku popsaném Avananem však důvěřování e-mailu pouhým pohledem na e-mailovou adresu odesílatele nestačí, protože zpráva bude vypadat, že pochází z legitimní adresy.

„Naštěstí je to jediná věc, která tento útok odlišuje od běžných phishingových e-mailů,“ upozornil Clements. Podvodný e-mail bude mít stále známky phishingu, což by lidé měli hledat.

Clements například řekl, že zpráva může obsahovat neobvyklý požadavek, zvláště pokud je předávána jako naléhavá záležitost. Také by obsahoval několik překlepů a dalších gramatických chyb. Další červenou vlajkou by byly odkazy v e-mailu, které nesměřují na obvyklé webové stránky odesílající organizace.

„Pokud máte pochybnosti, a vy byste měli být na pochybách téměř vždy, měli by [lidé] vždy používat důvěryhodné cesty, jako je přechod přímo na webové stránky společnosti nebo místo klikání na odkazy nebo kontaktování telefonních čísel nebo e-mailů uvedených v podezřelé zprávě zavolejte na tam uvedené číslo podpory, abyste si to ověřili,“ doporučil Chrisi.