Хакери су пронашли начин да преваре било коју Гмаил адресу

May 04, 2022
УВести Интернет и безбедност

Истраживачи сајбер-безбедности приметили су пораст броја е-маилова са легитимних адреса е-поште.
Они тврде да ове лажне поруке искориштавају недостатак популарне Гоогле услуге и слабе сигурносне мјере лажних брендова.
Пазите на знакове пхисхинга, чак и када се чини да је имејл од легитимног контакта, предлажу стручњаци.

Паметни телефон и сто са моделом пхисхинг е-поште приказаним на екрану, седећи испред тастатуре лаптопа. — БестфорБест / Гетти Имагес

Само зато што тај имејл има право име и тачну адресу е-поште не значи да је легитиман.

Према истражитељима сајбер-безбедности у Аванан-у, актери пхисхинг-а пронашли су начин да злоупотребе Гоогле-ову СМТП релејну услугу, која им омогућава да лажирати било коју Гмаил адресу, укључујући и оне популарних брендова. Нова стратегија напада даје легитимитет лажној е-пошти, дозвољавајући јој да завара не само примаоца већ и аутоматизоване механизме безбедности е-поште.

„Учесници претњи увек траже следећи доступни вектор напада и поуздано проналазе креативне начине да заобиђу безбедносне контроле као што је филтрирање нежељене поште“, Цхрис Цлементс, ВП Солутионс Арцхитецтуре ат

Церберус Сентинел, рекао је за Лифевире преко е-поште. „Као што истраживање наводи, овај напад је користио Гоогле СМТП релејни сервис, али је недавно дошло до пораста броја нападача који користе 'поуздане' изворе."

Не веруј својим очима

Гоогле нуди услугу СМТП релеја коју користе корисници Гмаил-а и Гоогле Воркспаце-а за усмеравање одлазних е-порука. Грешка је, према Аванану, омогућила фишерима да шаљу злонамерне е-поруке лажно представљајући било коју Гмаил и Гоогле Воркспаце адресу е-поште. Током две недеље у априлу 2022, Аванан је приметио скоро 30.000 таквих лажних имејлова.

У размени е-поште са Лифевире-ом, Бриан Киме, потпредседница, обавештајна стратегија и саветовање на ЗероФок, је поделио да предузећа имају приступ неколико механизама, укључујући ДМАРЦ, Сендер Полици Фрамеворк (СПФ) и ДомаинКеис Идентифиед Маил (ДКИМ), који у суштини помажу серверима за примање е-поште да одбију лажне е-поруке и чак пријављују злонамерне активности лажираном Марка.

„Када сте у недоумици, а скоро увек би требало да будете у недоумици, [људи] увек треба да користе путеве од поверења... уместо кликања на линкове..."

„Поверење је огромно за брендове. Толико огроман да су ЦИСО-и све више задужени да воде или помажу напоре у погледу поверења у бренд“, поделио је Киме.

Међутим, Јамес МцКуигган, заговорник свести о безбедности на КновБе4, рекао је за Лифевире преко е-поште да се ови механизми не користе у толикој мери колико би требало да буду, а злонамерне кампање попут оне коју је пријавио Аванан искориштавају такву опуштеност. У свом посту, Аванан је указао на Нетфлик, који је користио ДМАРЦ и није лажиран, док је Трелло, који не користи ДМАРЦ, био.

Када си у недоумици

Клементс је додао да иако истраживање Аванана показује да су нападачи експлоатисали Гоогле СМТП релеј сервис, слични напади укључују компромитовање система е-поште прве жртве, а затим коришћење за даље пхисхинг нападе на цео њихов контакт листа.

Због тога је предложио да људи који желе да остану сигурни од пхисхинг напада треба да користе више одбрамбених стратегија.

За почетак, постоји напад лажирања имена домена, где сајбер криминалци користе различите технике да сакрију своју адресу е-поште именом некога кога мета можда познаје, попут члана породице или надређеног са радног места, очекујући од њих да се не труде да би се уверили да е-пошта долази са прикривене адресе е-поште. МцКуигган.

„Људи не би требало слепо да прихватају име у пољу „Од““, упозорио је Меквиган и додао да би требало да бар изађу иза приказаног имена и верификују имејл адресу. „Ако нису сигурни, увек могу да се обрате пошиљаоцу путем секундарног метода као што је СМС или телефонски позив да верификују пошиљаоца који треба да пошаље е-пошту“, предложио је он.

Међутим, у СМТП релејном нападу који описује Аванан, поверење у е-пошту гледајући само адресу е-поште пошиљаоца није довољно јер ће изгледати да порука долази са легитимне адресе.

„На срећу, то је једина ствар која разликује овај напад од уобичајених пхисхинг мејлова“, истакао је Клементс. Лажна е-пошта ће и даље имати знакове пхисхинга, што људи треба да траже.

На пример, Клементс је рекао да би порука могла да садржи необичан захтев, посебно ако је пренета као хитна ствар. Такође би имао неколико грешака у куцању и других граматичких грешака. Још једна црвена заставица би биле везе у е-поруци које не иду на уобичајену веб локацију организације пошиљаоца.

„Када сте у недоумици, а скоро увек бисте требали да будете у недоумици, [људи] увек треба да користе поуздане путање као што је одлазак директно на веб локацију компаније или позивање броја подршке који је тамо наведен ради верификације, уместо да кликнете на линкове или контактирате бројеве телефона или е-пошту наведене у сумњивој поруци“, саветује се Цхрис.