Häkkerid on leidnud viisi Gmaili aadresside võltsimiseks

May 04, 2022
SisseUudised Interneti Turvalisus

Küberturvalisuse uurijad on märganud seaduslikelt meiliaadressidelt pärit andmepüügimeilide arvu kasvu.
Nad väidavad, et need võltssõnumid kasutavad ära populaarse Google'i teenuse viga ja kehastatavate kaubamärkide lõtvad turvameetmed.
Olge tähelepanelik andmepüügist märgutavate märkide suhtes, isegi kui e-kiri näib olevat pärit seaduslikult kontaktilt, soovitage eksperte.

Sülearvuti klaviatuuri ees istuv nutitelefon ja tabel, mille ekraanil kuvatakse andmepüügimeilide maketid. — BestforBest / Getty Images

See, et sellel meilil on õige nimi ja õige e-posti aadress, ei tähenda, et see on seaduslik.

Avanani küberjulgeoleku uurijate sõnul on andmepüügiga tegelejad leidnud võimaluse kuritarvitada Google'i SMTP-edastusteenust, mis võimaldab neil võltsida mis tahes Gmaili aadressi, sealhulgas populaarsete kaubamärkide omad. Uudne ründestrateegia annab petturlikule meilile legitiimsuse, lastes sellel petta mitte ainult adressaati, vaid ka automatiseeritud e-posti turvamehhanisme.

"Ohutegijad otsivad alati järgmist saadaolevat ründevektorit ja leiavad usaldusväärselt loomingulisi viise turvakontrollidest, nagu rämpsposti filtreerimine, mööda hiilimiseks."

Chris Clements, VP Solutions Architecture aadressil Cerberus Sentinel, ütles Lifewire'ile meili teel. "Nagu uuringud kinnitavad, kasutas see rünnak Google'i SMTP-edastusteenust, kuid hiljuti on ründajate hulk "usaldusväärseid" allikaid kasutanud."

Ärge usaldage oma silmi

Google pakub SMTP-edastusteenust, mida Gmaili ja Google Workspace'i kasutajad kasutavad väljaminevate meilide suunamiseks. Avanani sõnul võimaldas viga andmepüügiga tegelejatel saata pahatahtlikke e-kirju, esinedes mis tahes Gmaili ja Google Workspace'i e-posti aadressina. 2022. aasta aprilli kahe nädala jooksul märkas Avanan ligi 30 000 sellist võltskirja.

Meilivahetuses Lifewire'iga Brian Kime, luurestrateegia ja nõuandeosakonna asepresident ZeroFox, jagas, et ettevõtetel on juurdepääs mitmele mehhanismile, sealhulgas DMARC-ile, saatjapoliitika raamistikule (SPF) ja DomainKeys Identified Mail-ile. (DKIM), mis sisuliselt aitab vastuvõtvatel meiliserveritel võltsitud e-kirjad tagasi lükata ja isegi teatab pahatahtlikust tegevusest tagasi kehastatavale bränd.

"Kui kahtlete ja peaksite peaaegu alati kahtlema, peaksid [inimesed] alati kasutama usaldusväärseid teid... linkide klõpsamise asemel..."

"Usaldus on kaubamärkide jaoks tohutu. Nii tohutu, et CISO-de ülesandeks on üha enam juhtida või aidata brändi usalduslikke jõupingutusi,“ jagas Kime.

Kuid, James McQuiggan, turvateadlikkuse propageerija aadressil KnowBe4, ütles Lifewire'ile e-posti teel, et neid mehhanisme ei kasutata nii laialdaselt, kui peaks, ja pahatahtlikud kampaaniad, nagu näiteks Avanan, kasutavad sellist lõtvust ära. Avanan osutas oma postituses Netflixile, mis kasutas DMARC-i ja mida ei võltsinud, samas kui Trello, mis DMARC-i ei kasuta, oli seda.

Kui kahtled

Clements lisas, et kuigi Avanani uuringud näitavad, et ründajad kasutasid Google'i SMTP-edastusteenust, siis sarnased rünnakud hõlmata esialgse ohvri meilisüsteemide ohustamist ja seejärel selle kasutamist edasisteks andmepüügirünnakuteks kogu nende kontakti vastu nimekirja.

Seetõttu soovitas ta inimestel, kes soovivad end andmepüügirünnakute eest kaitsta, kasutada mitut kaitsestrateegiat.

Alustuseks on domeeninimede võltsimise rünnak, kus küberkurjategijad kasutavad erinevaid tehnikaid, et varjata oma e-posti aadressi kellegi nimega, keda sihtmärk võib tunda. nagu pereliige või ülemus töökohalt, eeldades, et nad ei pingutaks, et tagada, et meil tuleb varjatud meiliaadressilt, jagatakse McQuiggan.

"Inimesed ei tohiks pimesi aktsepteerida nime väljal "Saatja"," hoiatas McQuiggan ja lisas, et nad peaksid vähemalt kuvatava nime taha jääma ja e-posti aadressi kinnitama. "Kui nad pole kindlad, saavad nad alati saata saatjaga ühendust teise meetodi (nt tekstisõnumi või telefonikõne) kaudu, et kontrollida, kas saatja kavatseb meili saata," soovitas ta.

Avanani kirjeldatud SMTP-edastusrünnaku puhul ei piisa aga e-kirja usaldamisest ainult saatja e-posti aadressi vaatamisest, kuna sõnum näib olevat pärit legitiimselt aadressilt.

"Õnneks on see ainus asi, mis eristab seda rünnakut tavalistest andmepüügimeilidest," märkis Clements. Petturlikel meilidel on endiselt andmepüügist märku andvad märgid, mida inimesed peaksid otsima.

Näiteks ütles Clements, et sõnum võib sisaldada ebatavalist taotlust, eriti kui see edastatakse kiireloomulise asjana. Sellel oleks ka mitmeid kirjavigu ja muid grammatilisi vigu. Teine punane lipp oleks meilis olevad lingid, mis ei suuna saatva organisatsiooni tavapärasele veebisaidile.

"Kui kahtlete ja peaksite peaaegu alati kahtlema, peaksid [inimesed] alati kasutama usaldusväärseid teid, näiteks minnes otse ettevõtte veebisaidile või helistades kontrollimiseks seal loetletud tuginumbril, selle asemel, et klõpsata linke või võtta ühendust kahtlases sõnumis loetletud telefoninumbrite või e-posti aadressidega," soovitas Chris.