แฮกเกอร์พบวิธีที่จะปลอมแปลงที่อยู่ Gmail แล้ว

เพียงเพราะอีเมลนั้นมีชื่อที่ถูกต้องและที่อยู่อีเมลที่ถูกต้อง ไม่ได้หมายความว่าอีเมลนั้นถูกต้อง

จากข้อมูลของนักสืบความปลอดภัยทางไซเบอร์ที่ Avanan ผู้ทำการฟิชชิ่งพบวิธีละเมิดบริการส่งต่อ SMTP ของ Google ซึ่งทำให้พวกเขาสามารถ ปลอมแปลงที่อยู่ Gmail ใดๆรวมไปถึงแบรนด์ดัง กลยุทธ์การโจมตีแบบใหม่ให้ความชอบธรรมแก่อีเมลหลอกลวง ไม่เพียงแต่หลอกผู้รับเท่านั้น แต่ยังรวมถึงกลไกการรักษาความปลอดภัยอีเมลอัตโนมัติด้วย

"ผู้คุกคามมักจะมองหาเวกเตอร์การโจมตีถัดไปอยู่เสมอ และค้นหาวิธีที่สร้างสรรค์ในการหลีกเลี่ยงการควบคุมความปลอดภัย เช่น การกรองสแปมได้อย่างน่าเชื่อถือ" Chris Clements, VP Solutions Architecture ที่ เซอร์เบอรัส เซนติเนลบอก Lifewire ทางอีเมล "ตามที่การวิจัยระบุ การโจมตีนี้ใช้บริการส่งต่อของ Google SMTP แต่มีผู้โจมตีที่ใช้ประโยชน์จากแหล่งที่มาที่ 'เชื่อถือได้' เพิ่มขึ้นเมื่อเร็วๆ นี้"

อย่าวางใจในสายตาคุณ

Google มีบริการส่งต่อ SMTP ที่ผู้ใช้ Gmail และ Google Workspace ใช้เพื่อกำหนดเส้นทางอีเมลขาออก ข้อบกพร่องตาม Avanan ทำให้ฟิชเชอร์สามารถส่งอีเมลที่เป็นอันตรายโดยแอบอ้างเป็นที่อยู่อีเมล Gmail และ Google Workspace ในช่วงสองสัปดาห์ในเดือนเมษายน พ.ศ. 2565 Avanan สังเกตเห็นอีเมลปลอมดังกล่าวเกือบ 30,000 ฉบับ

ในการแลกเปลี่ยนอีเมลกับ Lifewire Brian Kime, VP, Intelligence Strategy and Advisory ที่ ZeroFoxแชร์ว่าธุรกิจต่างๆ สามารถเข้าถึงกลไกต่างๆ ได้ รวมถึง DMARC, Sender Policy Framework (SPF) และ DomainKeys Identified Mail (DKIM) ซึ่งช่วยรับเซิร์ฟเวอร์อีเมลเป็นหลัก ปฏิเสธอีเมลปลอมและรายงานกิจกรรมที่เป็นอันตรายกลับไปยังผู้แอบอ้าง ยี่ห้อ.

"ความไว้วางใจนั้นยิ่งใหญ่สำหรับแบรนด์ ใหญ่มากจน CISO ได้รับมอบหมายให้เป็นผู้นำหรือช่วยเหลือความพยายามด้านความไว้วางใจของแบรนด์มากขึ้นเรื่อยๆ" Kime กล่าว

อย่างไรก็ตาม, James McQuiggan, สนับสนุนความตระหนักด้านความปลอดภัยที่ KnowBe4บอกกับ Lifewire ทางอีเมลว่ากลไกเหล่านี้ไม่ได้ใช้กันอย่างแพร่หลายเท่าที่ควร และแคมเปญที่เป็นอันตราย เช่น ที่ Avanan รายงานใช้ประโยชน์จากความหละหลวมดังกล่าว ในโพสต์ของพวกเขา Avanan ชี้ไปที่ Netflix ซึ่งใช้ DMARC และไม่ได้ถูกหลอก ขณะที่ Trello ซึ่งไม่ได้ใช้ DMARC เป็นเช่นนั้น

เมื่อมีสิ่งสงสัย

Clements เสริมว่าในขณะที่การวิจัยของ Avanan แสดงให้เห็นว่าผู้โจมตีใช้ประโยชน์จากบริการส่งต่อ Google SMTP การโจมตีที่คล้ายกัน รวมถึงการประนีประนอมระบบอีเมลของเหยื่อรายแรกๆ แล้วใช้ระบบนั้นเพื่อโจมตีฟิชชิ่งเพิ่มเติมในการติดต่อทั้งหมดของพวกเขา รายการ.

นี่คือเหตุผลที่เขาแนะนำผู้ที่ต้องการรักษาความปลอดภัยจากการโจมตีแบบฟิชชิ่งควรใช้กลยุทธ์การป้องกันที่หลากหลาย

สำหรับผู้เริ่มต้น มีการโจมตีด้วยการปลอมแปลงชื่อโดเมน ซึ่งอาชญากรไซเบอร์ใช้เทคนิคต่างๆ เพื่อซ่อนที่อยู่อีเมลของตนพร้อมชื่อบุคคลที่เป้าหมายอาจรู้จัก เหมือนคนในครอบครัวหรือหัวหน้าจากที่ทำงาน โดยคาดหวังว่าจะไม่ออกนอกเส้นทางเพื่อให้แน่ใจว่าอีเมลนั้นมาจากที่อยู่อีเมลปลอมที่แชร์ แมคควิกแกน.

“ผู้คนไม่ควรยอมรับชื่อในช่อง 'จาก' อย่างสุ่มสี่สุ่มห้า” McQuiggan เตือน และเสริมว่าอย่างน้อยพวกเขาควรอยู่เบื้องหลังชื่อที่แสดงและยืนยันที่อยู่อีเมล “หากพวกเขาไม่แน่ใจ พวกเขาสามารถติดต่อผู้ส่งได้เสมอโดยใช้วิธีการรอง เช่น การส่งข้อความหรือการโทรศัพท์เพื่อยืนยันผู้ส่งที่ตั้งใจจะส่งอีเมล” เขากล่าว

อย่างไรก็ตาม ในการโจมตีแบบส่งต่อ SMTP ที่ Avanan อธิบายไว้โดยเชื่อถืออีเมลโดยดูที่ที่อยู่อีเมลของผู้ส่งเพียงอย่างเดียวไม่เพียงพอ เนื่องจากข้อความจะดูเหมือนว่ามาจากที่อยู่ที่ถูกต้อง

"โชคดีที่นั่นเป็นสิ่งเดียวที่ทำให้การโจมตีนี้แตกต่างจากอีเมลฟิชชิ่งทั่วไป" Clements ชี้ อีเมลหลอกลวงจะยังคงมีสัญญาณฟิชชิ่งซึ่งเป็นสิ่งที่ผู้คนควรมองหา

ตัวอย่างเช่น Clements กล่าวว่าข้อความอาจมีคำขอที่ผิดปกติ โดยเฉพาะอย่างยิ่งหากเป็นกรณีเร่งด่วน นอกจากนี้ยังมีการพิมพ์ผิดและข้อผิดพลาดทางไวยากรณ์อื่นๆ อีกหลายประการ ธงสีแดงอีกอันคือลิงก์ในอีเมลที่ไม่ไปที่เว็บไซต์ปกติขององค์กรผู้ส่ง

“เมื่อมีข้อสงสัย และคุณควรสงสัยเกือบตลอดเวลา [คน] ควรใช้เส้นทางที่เชื่อถือได้เสมอ เช่น ไปที่เว็บไซต์ของบริษัทโดยตรง หรือ โทรไปที่หมายเลขสนับสนุนที่ระบุไว้ที่นั่นเพื่อยืนยัน แทนที่จะคลิกลิงก์หรือติดต่อหมายเลขโทรศัพท์หรืออีเมลที่ระบุไว้ในข้อความที่น่าสงสัย "แนะนำ คริส.