Piratai rado būdą, kaip apgauti bet kurį „Gmail“ adresą

May 04, 2022
ĮŽinios Interneto Apsauga

Kibernetinio saugumo tyrinėtojai pastebėjo, kad padaugėjo sukčiavimo el. laiškų iš teisėtų el. pašto adresų.
Jie tvirtina, kad šiuose netikruose pranešimuose pasinaudojama populiarios „Google“ paslaugos trūkumu ir apsimetinėjamų prekių ženklų priemonėmis.
Stebėkite, ar neatsiranda signalų apie sukčiavimą, net jei atrodo, kad el. laiškas yra iš teisėto kontakto, siūlykite ekspertus.

Išmanusis telefonas ir stalas su sukčiavimo el. laiškų modeliais, rodomais ekrane, sėdintys prieš nešiojamojo kompiuterio klaviatūrą. — BestforBest / Getty Images

Vien todėl, kad tas el. pašto adresas turi tinkamą pavadinimą ir teisingą el. pašto adresą, dar nereiškia, kad jis teisėtas.

Pasak „Avanan“ kibernetinio saugumo žvalgų, sukčiavimo aktoriai rado būdą, kaip piktnaudžiauti „Google“ SMTP perdavimo paslauga, kuri leidžia jiems suklastoti bet kokį „Gmail“ adresą, įskaitant populiarių prekių ženklų produktus. Nauja atakos strategija suteikia apgaulingam el. laiškui teisėtumo, leisdama suklaidinti ne tik gavėją, bet ir automatizuotus el. pašto saugos mechanizmus.

„Grėsmės veikėjai visada ieško kito galimo atakos vektoriaus ir patikimai randa kūrybiškų būdų, kaip apeiti saugos kontrolę, pvz., šiukšlių filtravimą.

Chrisas Clementsas, VP sprendimų architektūra adresu Cerberus Sentinel, sakė Lifewire el. paštu. „Kaip teigiama tyrime, ši ataka naudojo „Google“ SMTP perdavimo paslaugą, tačiau pastaruoju metu padaugėjo užpuolikų, naudojančių „patikimus“ šaltinius.

Nepasitikėk savo akimis

„Google“ siūlo SMTP perdavimo paslaugą, kurią naudoja „Gmail“ ir „Google Workspace“ vartotojai, norėdami nukreipti siunčiamus el. Anot Avanano, dėl šio trūkumo sukčiavimo mėgėjai galėjo siųsti kenkėjiškus el. laiškus apsimetant bet kokiu „Gmail“ ir „Google Workspace“ el. pašto adresu. Per dvi 2022 m. balandžio savaites Avananas pastebėjo beveik 30 000 tokių netikrų el. laiškų.

El. paštu su „Lifewire“, Brianas Kime'asVP, žvalgybos strategija ir patarimai ZeroFox, pasidalino, kad įmonės turi prieigą prie kelių mechanizmų, įskaitant DMARC, siuntėjo politikos sistemą (SPF) ir DomainKeys Identified Mail. (DKIM), kuris iš esmės padeda priimantiems el. pašto serveriams atmesti suklastotus el. laiškus ir netgi pranešti apie kenkėjišką veiklą apsimetinėjusiam asmeniui. prekės ženklas.

„Kai abejojate ir beveik visada turėtumėte abejoti, [žmonės] visada turėtų naudoti patikimus kelius... užuot spustelėję nuorodas...“

„Prekių ženklų pasitikėjimas yra didžiulis. Toks didžiulis, kad CISO vis dažniau įpareigoja vadovauti prekės ženklo pasitikėjimo pastangoms arba padėti jai“, – dalijosi Kime.

Tačiau Jamesas McQuiggan, saugumo supratimo advokatas adresu KnowBe4, el. paštu Lifewire sakė, kad šie mechanizmai nėra taip plačiai naudojami, kaip turėtų būti, o kenkėjiškos kampanijos, tokios, kaip pranešė Avanan, pasinaudoja tokiu atsainumu. Savo įraše Avananas nurodė „Netflix“, kuris naudojo DMARC ir nebuvo suklastotas, o „Trello“, kuri nenaudoja DMARC, taip buvo.

Kai kyla abejonių

Clementsas pridūrė, kad nors „Avanan“ tyrimas rodo, kad užpuolikai išnaudojo „Google“ SMTP perdavimo paslaugą, panašios atakos apima pažeidimą pradinės aukos el. pašto sistemoms ir panaudojimą tolimesnėms sukčiavimo atakoms prieš visą jų kontaktą. sąrašą.

Štai kodėl jis pasiūlė žmonėms, norintiems apsisaugoti nuo sukčiavimo atakų, naudoti kelias gynybos strategijas.

Pradedantiesiems yra domeno vardo klastojimo ataka, kai kibernetiniai nusikaltėliai naudoja įvairius metodus, norėdami paslėpti savo el. pašto adresą su kieno nors, kurį taikinys gali žinoti, vardu. kaip šeimos narys ar viršininkas iš darbo vietos, tikintis, kad jie nesistengs užtikrinti, kad el. laiškas gautas iš paslėpto el. pašto adreso, bendrinamas McQuiggan.

„Žmonės neturėtų aklai priimti vardo lauke „Nuo““, – perspėjo McQuiggan ir pridūrė, kad jie turėtų bent jau atsiriboti nuo rodomo vardo ir patvirtinti el. pašto adresą. „Jei jie nėra tikri, jie visada gali susisiekti su siuntėju antriniu būdu, pvz., SMS arba telefono skambučiu, kad patvirtintų siuntėją, kuris norėjo išsiųsti el. laišką“, – pasiūlė jis.

Tačiau Avanano aprašytoje SMTP perdavimo atakoje nepakanka pasitikėti el. paštu vien tik į siuntėjo el. pašto adresą, nes atrodo, kad pranešimas gautas iš teisėto adreso.

„Laimei, tai vienintelis dalykas, kuris išskiria šią ataką nuo įprastų sukčiavimo el. laiškų“, – pažymėjo Clementsas. Apgaulingame el. laiške vis tiek bus įspėjamųjų ženklų apie sukčiavimą, todėl žmonės turėtų to ieškoti.

Pavyzdžiui, Clementsas teigė, kad žinutėje gali būti neįprastas prašymas, ypač jei jis perduodamas kaip skubus reikalas. Jame taip pat būtų keletas rašybos klaidų ir kitų gramatinių klaidų. Kita raudona vėliavėlė būtų el. laiške esančios nuorodos, kurios nepatenka į įprastą siuntėjo organizacijos svetainę.

„Kai kyla abejonių ir jūs beveik visada turėtumėte abejoti, [žmonės] visada turėtų naudoti patikimus kelius, pvz., eiti tiesiai į įmonės svetainę arba skambinkite ten nurodytu palaikymo numeriu, kad patikrintumėte, o ne spustelėjus nuorodas ar susisiekus telefonų numeriais ar el. pašto adresais, nurodytais įtartinoje žinutėje“, Krisas.