Hackers hebben een manier gevonden om elk Gmail-adres te vervalsen

May 04, 2022
InNieuws Internet Beveiliging

Cybersecurity-onderzoekers hebben een toename opgemerkt in phishing-e-mails van legitieme e-mailadressen.
Ze beweren dat deze nepberichten profiteren van een fout in een populaire Google-service en lakse beveiligingsmaatregelen van de nagebootste merken.
Let op tekenen van phishing, zelfs als de e-mail afkomstig lijkt te zijn van een legitiem contact, raden experts aan.

Een smartphone en tafel met mockup phishing-e-mails weergegeven op het scherm, zittend voor een laptoptoetsenbord. — BestforBest / Getty Images

Alleen omdat die e-mail de juiste naam en een correct e-mailadres heeft, wil nog niet zeggen dat het legitiem is.

Volgens cybersecurity-speurders bij Avanan hebben phishing-actoren een manier gevonden om de SMTP-relayservice van Google te misbruiken, waardoor ze elk Gmail-adres vervalsen, inclusief die van populaire merken. De nieuwe aanvalsstrategie verleent legitimiteit aan de frauduleuze e-mail, waardoor niet alleen de ontvanger voor de gek wordt gehouden, maar ook de geautomatiseerde e-mailbeveiligingsmechanismen.

"Bedreigingsactoren zijn altijd op zoek naar de volgende beschikbare aanvalsvector en vinden op betrouwbare wijze creatieve manieren om beveiligingscontroles zoals spamfilters te omzeilen,"

Chris Clements, VP Solutions Architecture bij Cerberus Sentinel, vertelde Lifewire via e-mail. "Zoals het onderzoek aangeeft, maakte deze aanval gebruik van de Google SMTP-relayservice, maar er is een recente toename van aanvallers die gebruikmaken van 'vertrouwde' bronnen."

Vertrouw je ogen niet

Google biedt een SMTP-relayservice die door Gmail- en Google Workspace-gebruikers wordt gebruikt om uitgaande e-mails te routeren. Volgens Avanan stelde de fout phishers in staat om kwaadaardige e-mails te verzenden door zich voor te doen als een Gmail- of Google Workspace-e-mailadres. Gedurende twee weken in april 2022 merkte Avanan bijna 30.000 van dergelijke valse e-mails op.

In een e-mailuitwisseling met Lifewire, Brian Kime, VP, Intelligence Strategy and Advisory bij ZeroFox, deelde mee dat bedrijven toegang hebben tot verschillende mechanismen, waaronder DMARC, Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM), die in wezen helpen bij het ontvangen van e-mailservers om vervalste e-mails te weigeren en zelfs de kwaadaardige activiteit terug te rapporteren aan de geïmiteerde merk.

"Bij twijfel, en je zou bijna altijd moeten twijfelen, moeten [mensen] altijd vertrouwde paden gebruiken... in plaats van op links te klikken..."

"Vertrouwen is enorm voor merken. Zo groot dat CISO's steeds meer de taak krijgen om de vertrouwensinspanningen van een merk te leiden of te helpen", aldus Kime.

Echter, James McQuiggan, pleitbezorger voor veiligheidsbewustzijn bij KnowBe4, vertelde Lifewire via e-mail dat deze mechanismen niet zo wijdverbreid worden gebruikt als ze zouden moeten zijn, en kwaadaardige campagnes zoals die gerapporteerd door Avanan profiteren van dergelijke laksheid. In hun bericht wees Avanan op Netflix, dat DMARC gebruikte en niet werd vervalst, terwijl Trello, dat geen DMARC gebruikt, dat wel was.

Wanneer in twijfel

Clements voegde toe dat hoewel het Avanan-onderzoek aantoont dat de aanvallers de Google SMTP-relayservice misbruikten, vergelijkbare aanvallen omvatten het compromitteren van de e-mailsystemen van een eerste slachtoffer en dat vervolgens gebruiken voor verdere phishing-aanvallen op hun hele contactpersoon lijst.

Daarom suggereerde hij dat mensen die zich willen beschermen tegen phishing-aanvallen, meerdere verdedigingsstrategieën moeten gebruiken.

Om te beginnen is er de spoofing-aanval van domeinnamen, waarbij cybercriminelen verschillende technieken gebruiken om hun e-mailadres te verbergen met de naam van iemand die het doelwit mogelijk kent, zoals een familielid of meerdere van de werkplek, in de verwachting dat ze niet hun best doen om ervoor te zorgen dat de e-mail afkomstig is van het verkapte e-mailadres, gedeeld McQuiggan.

"Mensen moeten de naam in het veld 'Van' niet blindelings accepteren", waarschuwde McQuiggan, eraan toevoegend dat ze op zijn minst achter de weergavenaam moeten gaan en het e-mailadres moeten verifiëren. "Als ze het niet zeker weten, kunnen ze altijd contact opnemen met de afzender via een secundaire methode, zoals een sms of telefoontje, om te controleren of de afzender de e-mail heeft verzonden", stelde hij voor.

Bij de door Avanan beschreven SMTP-relay-aanval is het vertrouwen van een e-mail door alleen naar het e-mailadres van de afzender te kijken echter niet voldoende, aangezien het bericht van een legitiem adres lijkt te komen.

"Gelukkig is dat het enige dat deze aanval onderscheidt van normale phishing-e-mails", aldus Clements. De frauduleuze e-mail zal nog steeds de verklikkersignalen van phishing hebben, waar mensen op moeten letten.

Clements zei bijvoorbeeld dat het bericht een ongebruikelijk verzoek kan bevatten, vooral als het als een dringende kwestie wordt overgebracht. Het zou ook verschillende typefouten en andere grammaticale fouten bevatten. Een andere rode vlag zijn links in de e-mail die niet naar de gebruikelijke website van de afzenderorganisatie gaan.

"Bij twijfel, en je zou bijna altijd moeten twijfelen, moeten [mensen] altijd vertrouwde paden gebruiken, zoals rechtstreeks naar de website van het bedrijf gaan of door het daar vermelde ondersteuningsnummer te bellen om te verifiëren, in plaats van op links te klikken of contact op te nemen met telefoonnummers of e-mails die in het verdachte bericht worden vermeld," adviseerde Chris.