Ključni podaci za van
- Istraživači kibernetičke sigurnosti primijetili su porast e-pošte za krađu identiteta s legitimnih adresa e-pošte.
- Tvrde da ove lažne poruke iskorištavaju grešku u popularnoj Googleovoj usluzi i slabe sigurnosne mjere lažnih robnih marki.
- Pripazite na znakove phishinga, čak i kada se čini da je e-pošta od legitimnog kontakta, predložite stručnjake.
Samo zato što ta e-pošta ima pravo ime i točnu e-adresu ne znači da je legitimna.
Prema istražiteljima za kibernetičku sigurnost u Avananu, akteri krađe identiteta pronašli su način za zlouporabu Googleove usluge SMTP releja, koja im omogućuje lažiranje bilo koje Gmail adrese, uključujući one popularnih marki. Nova strategija napada daje legitimitet lažnoj e-pošti, dopuštajući joj da prevari ne samo primatelja, već i automatizirane sigurnosne mehanizme e-pošte.
"Akteri prijetnji uvijek traže sljedeći dostupni vektor napada i pouzdano pronalaze kreativne načine za zaobilaženje sigurnosnih kontrola kao što je filtriranje neželjene pošte", rekao je za Lifewire putem e-pošte Chris Clements, potpredsjednik odjela za arhitekturu rješenja u Cerberus Sentinelu. "Kao što istraživanje navodi, ovaj napad koristio je Google SMTP relejnu uslugu, ali nedavno je došlo do porasta broja napadača koji koriste 'pouzdane' izvore."
Ne vjeruj svojim očima
Google nudi uslugu SMTP releja koju koriste korisnici Gmaila i Google Workspacea za usmjeravanje odlazne e-pošte. Greška je, prema Avananu, omogućila krađi identiteta da šalju zlonamjerne e-poruke lažno predstavljajući bilo koju adresu e-pošte za Gmail i Google Workspace. Tijekom dva tjedna u travnju 2022. Avanan je primijetio gotovo 30.000 takvih lažnih e-mailova.
U razmjeni e-pošte s Lifewireom, Brian Kime, VP, Intelligence Strategy and Advisory u ZeroFoxu, podijelio je da tvrtke imaju pristup nekoliko mehanizama, uključujući DMARC, Sender Policy Framework (SPF) i DomainKeys Identified Mail (DKIM), koji u biti pomažu poslužiteljima za primanje e-pošte da odbiju lažnu e-poštu i čak prijavljuju zlonamjernu aktivnost robnoj marki koja se lažno predstavlja.
Kada ste u nedoumici, a trebali biste biti gotovo uvijek u nedoumici, [ljudi] bi uvijek trebali koristiti pouzdane putove… umjesto klikanja na veze…
"Povjerenje je ogromno za robne marke. Toliko je veliko da CISO-i sve više imaju zadatak voditi ili pomagati napore za povjerenje robne marke," podijelio je Kime.
Međutim, James McQuiggan, zagovornik svijesti o sigurnosti u KnowBe4, rekao je Lifewireu putem e-pošte da se ti mehanizmi ne koriste toliko široko koliko bi trebali biti, a zlonamjerne kampanje poput one o kojoj je izvijestio Avanan iskorištavaju takvu labavost. U svojoj objavi, Avanan je ukazao na Netflix, koji je koristio DMARC i nije bio lažiran, dok je Trello, koji ne koristi DMARC, bio.
Kad ste u nedoumici
Clements je dodao da dok istraživanje Avanana pokazuje da su napadači iskorištavali Google SMTP relay uslugu, slični napadi uključuju kompromitiranje početnih žrtvinih sustava e-pošte i zatim korištenje toga za daljnje phishing napade na njihov cijeli popis kontakata.
Zbog toga je predložio da ljudi koji se žele zaštititi od phishing napada trebaju primijeniti višestruke obrambene strategije.
Za početak, tu je napad lažiranjem imena domene, gdje kibernetički kriminalci koriste različite tehnike kako bi sakrili svoju adresu e-pošte s imenom nekoga koga meta možda poznaje, poput člana obitelji ili nadređenog s radnog mjesta, očekujući da neće otići s puta kako bi osigurali da e-pošta dolazi s prikrivene adrese e-pošte, podijelio je McQuiggan.
"Ljudi ne bi trebali slijepo prihvaćati ime u polju 'Od', " upozorio je McQuiggan, dodajući da bi trebali barem pogledati iza imena za prikaz i potvrditi adresu e-pošte."Ako nisu sigurni, uvijek se mogu obratiti pošiljatelju sekundarnom metodom kao što je SMS ili telefonski poziv kako bi potvrdili pošiljatelja koji je trebao poslati e-poštu", predložio je.
Međutim, u napadu SMTP releja koji je opisao Avanan vjerovati e-pošti samo gledanjem adrese e-pošte pošiljatelja nije dovoljno jer će se činiti da poruka dolazi s legitimne adrese.
"Srećom, to je jedina stvar koja razlikuje ovaj napad od normalnih phishing e-poruka," istaknuo je Clements. Lažna e-pošta i dalje će imati znakove krađe identiteta, što je ono na što bi ljudi trebali obratiti pažnju.
Na primjer, Clements je rekao da bi poruka mogla sadržavati neobičan zahtjev, osobito ako se prenosi kao hitna stvar. Također bi imao nekoliko tipfelera i drugih gramatičkih pogrešaka. Još jedna crvena zastavica bile bi veze u e-poruci koje ne vode na uobičajenu web stranicu organizacije pošiljatelja.
"Kada ste u nedoumici, a trebali biste biti gotovo uvijek u nedoumici, [ljudi] bi uvijek trebali koristiti pouzdane putove kao što je odlazak izravno na web stranicu tvrtke ili pozivanje tamo navedenog broja podrške radi provjere, umjesto da klikaju veze ili kontaktirati telefonske brojeve ili adrese e-pošte navedene u sumnjivoj poruci," savjetovao je Chris.
