Key takeaways
- Sybersikkerhetsforskere har lagt merke til en økning i phishing-e-poster fra legitime e-postadresser.
- De hevder at disse falske meldingene drar fordel av en feil i en populær Google-tjeneste og slappe sikkerhetstiltak fra de etterligne merkevarene.
- Følg med etter tydelige tegn på nettfisking, selv når e-posten ser ut til å komme fra en legitim kontakt, foreslår eksperter.
Bare fordi den e-posten har riktig navn og riktig e-postadresse, betyr ikke det at den er legitim.
Ifølge nettsikkerhetseksperter hos Avanan, har phishing-aktører funnet en måte å misbruke Googles SMTP-relétjeneste, som lar dem forfalske alle Gmail-adresser, inkludert adresser til populære merker. Den nye angrepsstrategien gir legitimitet til den uredelige e-posten, og lar den lure ikke bare mottakeren, men også automatiserte e-postsikkerhetsmekanismer.
"Trusselsaktører leter alltid etter den neste tilgjengelige angrepsvektoren og finner pålitelige kreative måter å omgå sikkerhetskontroller som spamfiltrering," sa Chris Clements, VP Solutions Architecture ved Cerberus Sentinel, til Lifewire via e-post. "Som forskningen sier, brukte dette angrepet Googles SMTP-relétjeneste, men det har nylig vært en økning i angripere som utnytter "pålitelige" kilder."
Ikke stol på øynene dine
Google tilbyr en SMTP-relétjeneste som brukes av Gmail- og Google Workspace-brukere til å rute utgående e-post. Feilen, ifølge Avanan, gjorde det mulig for phishere å sende ondsinnede e-poster ved å etterligne en hvilken som helst Gmail- og Google Workspace-e-postadresse. I løpet av to uker i april 2022 la Avanan merke til nesten 30 000 slike falske e-poster.
I en e-postutveksling med Lifewire delte Brian Kime, VP, Intelligence Strategy and Advisory hos ZeroFox, at bedrifter har tilgang til flere mekanismer, inkludert DMARC, Sender Policy Framework (SPF) og DomainKeys Identified Mail (DKIM), som i hovedsak hjelper mottakende e-postservere med å avvise falske e-poster og til og med rapportere den ondsinnede aktiviteten tilbake til det etterligne merket.
Når du er i tvil, og du bør nesten alltid være i tvil, bør [folk] alltid bruke pålitelige stier… i stedet for å klikke på lenker…
"Tillit er enormt for merkevarer. Så stort at CISO-er i økende grad får i oppgave å lede eller hjelpe et merkes tillitsarbeid," delte Kime.
Men James McQuiggan, talsmann for sikkerhetsbevissthet hos KnowBe4, fort alte Lifewire over e-post at disse mekanismene ikke er så mye brukt som de burde være, og ondsinnede kampanjer som den som Avanan rapporterte drar fordel av slik slapphet. I innlegget sitt pekte Avanan på Netflix, som brukte DMARC og ikke ble forfalsket, mens Trello, som ikke bruker DMARC, var det.
When in Doubt
Clements la til at mens Avanan-undersøkelsen viser at angriperne utnyttet Googles SMTP-relétjeneste, inkluderer lignende angrep å kompromittere et første offers e-postsystemer og deretter bruke det til ytterligere phishing-angrep på hele kontaktlisten deres.
Dette er grunnen til at han foreslo at folk som ønsker å forbli sikre mot phishing-angrep bør bruke flere defensive strategier.
Til å begynne med er det domenenavn-spoofing-angrepet, der nettkriminelle bruker ulike teknikker for å skjule e-postadressen sin med navnet på noen som målet kanskje kjenner, som et familiemedlem eller overordnet fra arbeidsplassen, og forventer at de ikke skal dra ut av veien for å sikre at e-posten kommer fra den forkledde e-postadressen, delte McQuiggan.
"Folk bør ikke blindt akseptere navnet i 'Fra'-feltet," advarte McQuiggan og la til at de i det minste burde gå bak visningsnavnet og bekrefte e-postadressen."Hvis de er usikre, kan de alltid kontakte avsenderen via en sekundær metode som tekst eller telefonsamtale for å bekrefte at avsenderen ville sende e-posten," foreslo han.
I SMTP-reléangrepet beskrevet av Avanan er det imidlertid ikke nok å stole på en e-post ved å se på avsenderens e-postadresse alene, siden meldingen ser ut til å komme fra en legitim adresse.
"Heldigvis er det det eneste som skiller dette angrepet fra vanlige phishing-e-poster," påpekte Clements. Den falske e-posten vil fortsatt ha tydelige tegn på nettfisking, som er det folk bør se etter.
Clements sa for eksempel at meldingen kan inneholde en uvanlig forespørsel, spesielt hvis den blir formidlet som en presserende sak. Den ville også ha flere skrivefeil og andre grammatiske feil. Et annet rødt flagg er koblinger i e-posten som ikke går til avsenderorganisasjonens vanlige nettsted.
"Når du er i tvil, og du bør nesten alltid være i tvil, bør [folk] alltid bruke pålitelige stier som å gå direkte til selskapets nettside eller ringe supportnummeret som er oppført der for å bekrefte, i stedet for å klikke på lenker eller kontakte telefonnumre eller e-poster som er oppført i den mistenkelige meldingen, " rådet Chris.
