Хакери знайшли спосіб підробити будь-яку адресу Gmail

May 04, 2022
ВНовини Інтернет і безпека

click fraud protection

Дослідники кібербезпеки помітили зростання кількості фішингових листів із законних електронних адрес.
Вони стверджують, що ці фальшиві повідомлення використовують недоліки в популярній службі Google і послаблюють заходи безпеки з боку брендів.
Слідкуйте за ознаками фішингу, навіть якщо електронний лист надійшов від законного контакту, радять експерти.

Смартфон і стіл із макетами фішингових електронних листів, що відображаються на екрані, сидять перед клавіатурою ноутбука. — BestforBest / Getty Images

Те, що цей електронний лист має правильне ім’я та правильну адресу електронної пошти, не означає, що він законний.

За словами розслідувачів кібербезпеки Avanan, фішингові актори знайшли спосіб зловживати службою ретрансляції SMTP від Google, яка дозволяє їм підробити будь-яку адресу Gmail, в тому числі популярних брендів. Нова стратегія атаки надає легітимність шахрайській електронній пошті, дозволяючи їй обдурити не лише одержувача, але й автоматизовані механізми безпеки електронної пошти.

«Актори загроз завжди шукають наступний доступний вектор атаки та надійно знаходять творчі способи обійти контроль безпеки, як-от фільтрацію спаму»,

Кріс Клементс, В.П. Архітектура рішень на ст Страж Цербера, сказав Lifewire по електронній пошті. «Як стверджується в дослідженні, ця атака використовувала службу ретрансляції Google SMTP, але останнім часом спостерігається зростання кількості зловмисників, які використовують «надійні» джерела».

Не довіряйте своїм очам

Google пропонує послугу ретрансляції SMTP, яку використовують користувачі Gmail і Google Workspace для маршрутизації вихідних листів. За словами Аванана, ця вада дозволила фішерам надсилати шкідливі електронні листи, видаючи себе за будь-яку електронну адресу Gmail і Google Workspace. Протягом двох тижнів у квітні 2022 року Аванан помітив майже 30 000 таких фальшивих листів.

Під час обміну електронною поштою з Lifewire, Браян Кіме, віце-президент, розвідувальна стратегія та консультування в ZeroFox, поділився, що підприємства мають доступ до кількох механізмів, зокрема DMARC, Sender Policy Framework (SPF) і DomainKeys Identified Mail (DKIM), які, по суті, допомагають серверам отримання електронної пошти відхиляти підроблені електронні листи і навіть повідомляти про зловмисну активність тому, хто видається бренд.

«Коли ви сумніваєтеся, а ви майже завжди сумніваєтеся, [люди] завжди повинні використовувати надійні шляхи... замість того, щоб натискати посилання..."

«Довіра до брендів величезна. Настільки величезний, що CISO все частіше доручається керувати або допомагати зусиллям довіри бренду», — поділився Кіме.

однак, Джеймс МакКвігган, адвокат з питань безпеки в KnowBe4, сказав Lifewire по електронній пошті, що ці механізми використовуються не так широко, як мали б бути, і шкідливі кампанії, подібні до тієї, про яку повідомляє Avanan, користуються такою слабкістю. У своїй публікації Avanan вказав на Netflix, який використовував DMARC і не був підроблений, тоді як Trello, який не використовує DMARC, був.

Коли Ви сумніваєтеся

Клементс додав, що, хоча дослідження Avanan показує, що зловмисники використовували службу ретрансляції Google SMTP, подібні атаки включають скомпрометацію систем електронної пошти початкової жертви, а потім використання її для подальших фішингових атак на весь їхній контакт список.

Ось чому він запропонував людям, які хочуть захиститися від фішингових атак, використовувати кілька захисних стратегій.

Для початку існує атака підміни доменного імені, коли кіберзлочинці використовують різні методи, щоб приховати свою адресу електронної пошти з іменем когось, кого ціль може знати, як член сім’ї або начальник із робочого місця, очікуючи, що вони не будуть напружуватися, щоб переконатися, що електронний лист надходить із прихованої адреси електронної пошти. МакКвіґґан.

"Люди не повинні сліпо приймати ім'я в полі "Від"", - попередив МакКвігган, додавши, що вони повинні принаймні зайти за відображуване ім'я та підтвердити адресу електронної пошти. «Якщо вони не впевнені, вони завжди можуть зв’язатися з відправником за допомогою допоміжного методу, наприклад текстового повідомлення або телефонного дзвінка, щоб підтвердити відправника, який має намір надіслати електронний лист», – припустив він.

Однак у атаці ретрансляції SMTP, описаній Авананом, недостатньо довіряти електронній пошті, дивлячись лише на адресу електронної пошти відправника, оскільки повідомлення, здається, надходить із законної адреси.

«На щастя, це єдине, що відрізняє цю атаку від звичайних фішингових листів», – зазначив Клементс. Шахрайська електронна пошта все ще матиме ознаки фішингу, на що люди повинні звернути увагу.

Наприклад, Клементс сказав, що повідомлення може містити незвичайний запит, особливо якщо він передається як термінова справа. Він також мав би декілька друкарських та інших граматичних помилок. Іншим червоним прапором можуть бути посилання в електронному листі, які не ведуть на звичайний веб-сайт організації-відправника.

«Коли ви сумніваєтеся, а ви майже завжди сумніваєтеся, [люди] завжди повинні використовувати надійні шляхи, наприклад перейти безпосередньо на веб-сайт компанії або зателефонувати за номером служби підтримки, зазначеним там, для підтвердження, замість того, щоб натискати посилання чи звертатися за номерами телефонів чи електронних листів, зазначеними в підозрілому повідомленні», – радить Кріс