Los piratas informáticos han encontrado una forma de falsificar cualquier dirección de Gmail
- Los investigadores de ciberseguridad han notado un aumento en los correos electrónicos de phishing de direcciones de correo electrónico legítimas.
- Afirman que estos mensajes falsos aprovechan una falla en un servicio popular de Google y las medidas de seguridad laxas de las marcas suplantadas.
- Esté atento a las señales reveladoras de phishing, incluso cuando el correo electrónico parezca ser de un contacto legítimo, sugieren los expertos.
BestforBest / Getty Images
El hecho de que ese correo electrónico tenga el nombre correcto y una dirección de correo electrónico correcta no significa que sea legítimo.
Según los detectives de seguridad cibernética de Avanan, los actores de phishing han encontrado una manera de abusar del servicio de retransmisión SMTP de Google, que les permite suplantar cualquier dirección de Gmail, incluidos los de marcas populares. La nueva estrategia de ataque otorga legitimidad al correo electrónico fraudulento, permitiéndole engañar no solo al destinatario sino también a los mecanismos de seguridad del correo electrónico automatizado.
"Los actores de amenazas siempre están buscando el próximo vector de ataque disponible y encuentran formas creativas de eludir los controles de seguridad como el filtrado de correo no deseado". Chris Clemente, vicepresidente de arquitectura de soluciones en Centinela Cerbero, le dijo a Lifewire por correo electrónico. "Como indica la investigación, este ataque utilizó el servicio de retransmisión SMTP de Google, pero ha habido un aumento reciente en los atacantes que aprovechan fuentes 'confiables'".
No confíes en tus ojos
Google ofrece un servicio de retransmisión SMTP que utilizan los usuarios de Gmail y Google Workspace para enrutar los correos electrónicos salientes. La falla, según Avanan, permitió a los phishers enviar correos electrónicos maliciosos haciéndose pasar por cualquier dirección de correo electrónico de Gmail y Google Workspace. Durante dos semanas en abril de 2022, Avanan detectó casi 30 000 correos electrónicos falsos.
En un intercambio de correo electrónico con Lifewire, brian kime, VP, estrategia de inteligencia y asesoramiento en cerozorro, compartió que las empresas tienen acceso a varios mecanismos, incluidos DMARC, Marco de política del remitente (SPF) y DomainKeys Identified Mail (DKIM), que esencialmente ayuda a los servidores de correo electrónico a rechazar los correos electrónicos falsificados e incluso reportar la actividad maliciosa a la persona suplantada. marca.
"En caso de duda, y casi siempre debería estar en duda, [las personas] siempre deben usar rutas confiables... en lugar de hacer clic en enlaces..."
"La confianza es enorme para las marcas. Tan grande que los CISO tienen cada vez más la tarea de liderar o ayudar a los esfuerzos de confianza de una marca", compartió Kime.
Sin embargo, james mcquiggan, defensor de la conciencia de seguridad en SaberBe4, le dijo a Lifewire por correo electrónico que estos mecanismos no se usan tan ampliamente como deberían, y las campañas maliciosas como la reportada por Avanan se aprovechan de esa laxitud. En su publicación, Avanan señaló a Netflix, que usó DMARC y no fue falsificado, mientras que Trello, que no usa DMARC, sí lo fue.
En caso de duda
Clements agregó que si bien la investigación de Avanan muestra que los atacantes explotaron el servicio de retransmisión SMTP de Google, ataques similares incluir comprometer los sistemas de correo electrónico de una víctima inicial y luego usarlo para más ataques de phishing en todo su contacto lista.
Es por eso que sugirió que las personas que buscan mantenerse a salvo de los ataques de phishing deberían emplear múltiples estrategias defensivas.
Para empezar, está el ataque de suplantación de nombre de dominio, en el que los ciberdelincuentes utilizan varias técnicas para ocultar su dirección de correo electrónico con el nombre de alguien que el objetivo puede conocer. como un miembro de la familia o un superior del lugar de trabajo, esperando que no hagan todo lo posible para asegurarse de que el correo electrónico provenga de la dirección de correo electrónico encubierta, compartida McQuiggan.
"La gente no debería aceptar ciegamente el nombre en el campo 'De'", advirtió McQuiggan, y agregó que al menos deberían ir detrás del nombre para mostrar y verificar la dirección de correo electrónico. "Si no están seguros, siempre pueden comunicarse con el remitente a través de un método secundario, como un mensaje de texto o una llamada telefónica, para verificar el remitente que quería enviar el correo electrónico", sugirió.
Sin embargo, en el ataque de retransmisión SMTP descrito por Avanan, confiar en un correo electrónico solo con mirar la dirección de correo electrónico del remitente no es suficiente, ya que el mensaje parecerá provenir de una dirección legítima.
"Afortunadamente, eso es lo único que diferencia este ataque de los correos electrónicos de phishing normales", señaló Clements. El correo electrónico fraudulento aún tendrá los signos reveladores de phishing, que es lo que la gente debe buscar.
Por ejemplo, Clements dijo que el mensaje podría contener una solicitud inusual, especialmente si se transmite como un asunto urgente. También tendría varios errores tipográficos y otros errores gramaticales. Otra señal de alerta serían los enlaces en el correo electrónico que no van al sitio web habitual de la organización del remitente.
"En caso de duda, y casi siempre debería tener dudas, [las personas] siempre deben usar rutas confiables, como ir directamente al sitio web de la empresa o llamando al número de soporte que aparece allí para verificar, en lugar de hacer clic en los enlaces o contactar a los números de teléfono o correos electrónicos que figuran en el mensaje sospechoso", aconsejó cris