Βασικά Takeaways
- Ερευνητές κυβερνοασφάλειας παρατήρησαν αύξηση στα μηνύματα ηλεκτρονικού "ψαρέματος" από νόμιμες διευθύνσεις ηλεκτρονικού ταχυδρομείου.
- Ισχυρίζονται ότι αυτά τα ψεύτικα μηνύματα εκμεταλλεύονται ένα ελάττωμα σε μια δημοφιλή υπηρεσία Google και χαλαρά μέτρα ασφαλείας από τις πλαστογραφημένες επωνυμίες.
- Προσέχετε για ενδεικτικά σημάδια ηλεκτρονικού ψαρέματος, ακόμη και όταν το μήνυμα ηλεκτρονικού ταχυδρομείου φαίνεται ότι προέρχεται από μια νόμιμη επαφή, προτείνουν οι ειδικοί.
Ακριβώς επειδή αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου έχει το σωστό όνομα και μια σωστή διεύθυνση ηλεκτρονικού ταχυδρομείου δεν σημαίνει ότι είναι νόμιμο.
Σύμφωνα με ερευνητές κυβερνοασφάλειας στο Avanan, οι παράγοντες ηλεκτρονικού ψαρέματος βρήκαν έναν τρόπο κατάχρησης της υπηρεσίας αναμετάδοσης SMTP της Google, η οποία τους επιτρέπει να πλαστογραφούν οποιαδήποτε διεύθυνση Gmail, συμπεριλαμβανομένων εκείνων δημοφιλών επωνυμιών. Η νέα στρατηγική επίθεσης προσδίδει νομιμότητα στο δόλιο email, αφήνοντάς το να ξεγελάσει όχι μόνο τον παραλήπτη αλλά και αυτοματοποιημένους μηχανισμούς ασφαλείας email.
"Οι φορείς απειλών αναζητούν πάντα τον επόμενο διαθέσιμο φορέα επίθεσης και βρίσκουν αξιόπιστα δημιουργικούς τρόπους για να παρακάμψουν τους ελέγχους ασφαλείας, όπως το φιλτράρισμα ανεπιθύμητων μηνυμάτων", είπε ο Chris Clements, Αντιπρόεδρος της Αρχιτεκτονικής Solutions στο Cerberus Sentinel, στο Lifewire μέσω email. "Όπως αναφέρει η έρευνα, αυτή η επίθεση χρησιμοποίησε την υπηρεσία αναμετάδοσης SMTP της Google, αλλά υπήρξε μια πρόσφατη άνοδος στους επιτιθέμενους που αξιοποιούν "αξιόπιστες" πηγές."
Μην εμπιστεύεσαι τα μάτια σου
Η Google προσφέρει μια υπηρεσία αναμετάδοσης SMTP που χρησιμοποιείται από τους χρήστες του Gmail και του Google Workspace για τη δρομολόγηση εξερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου. Το ελάττωμα, σύμφωνα με τον Avanan, επέτρεψε στους phishers να στέλνουν κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου πλαστοπροσωπώντας οποιαδήποτε διεύθυνση ηλεκτρονικού ταχυδρομείου Gmail και Google Workspace. Κατά τη διάρκεια δύο εβδομάδων τον Απρίλιο του 2022, ο Avanan παρατήρησε σχεδόν 30.000 τέτοια ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου.
Σε μια ανταλλαγή email με το Lifewire, ο Brian Kime, Αντιπρόεδρος, Intelligence Strategy and Advisory στο ZeroFox, μοιράστηκε ότι οι επιχειρήσεις έχουν πρόσβαση σε διάφορους μηχανισμούς, όπως το DMARC, το Πλαίσιο Πολιτικής Αποστολέα (SPF) και το DomainKeys Identified Mail (DKIM), το οποίο ουσιαστικά βοηθά τους διακομιστές ηλεκτρονικού ταχυδρομείου που λαμβάνουν να απορρίπτουν πλαστά μηνύματα ηλεκτρονικού ταχυδρομείου και ακόμη και να αναφέρουν την κακόβουλη δραστηριότητα στην πλαστοπροσωπία.
Όταν έχετε αμφιβολίες, και θα πρέπει σχεδόν πάντα να έχετε αμφιβολίες, [οι άνθρωποι] θα πρέπει πάντα να χρησιμοποιούν αξιόπιστες διαδρομές… αντί να κάνουν κλικ σε συνδέσμους…
"Η εμπιστοσύνη είναι τεράστια για τις επωνυμίες. Τόσο τεράστια που οι CISO αναλαμβάνουν όλο και περισσότερο να ηγούνται ή να βοηθούν τις προσπάθειες εμπιστοσύνης μιας επωνυμίας", μοιράστηκε το Kime.
Ωστόσο, ο James McQuiggan, συνήγορος ευαισθητοποίησης για την ασφάλεια στο KnowBe4, είπε στο Lifewire μέσω email ότι αυτοί οι μηχανισμοί δεν χρησιμοποιούνται τόσο ευρέως όσο θα έπρεπε και ότι κακόβουλες καμπάνιες όπως αυτή που αναφέρει ο Avanan εκμεταλλεύονται αυτή τη χαλαρότητα. Στην ανάρτησή τους, ο Avanan έδειξε το Netflix, το οποίο χρησιμοποιούσε DMARC και δεν ήταν πλαστογραφημένο, ενώ το Trello, το οποίο δεν χρησιμοποιεί DMARC, ήταν.
Όταν είσαι σε αμφιβολία
Ο Clements πρόσθεσε ότι ενώ η έρευνα Avanan δείχνει ότι οι επιτιθέμενοι εκμεταλλεύτηκαν την υπηρεσία αναμετάδοσης SMTP Google, παρόμοιες επιθέσεις περιλαμβάνουν την παραβίαση των συστημάτων email ενός αρχικού θύματος και στη συνέχεια τη χρήση τους για περαιτέρω επιθέσεις phishing σε ολόκληρη τη λίστα επαφών τους.
Αυτός είναι ο λόγος για τον οποίο πρότεινε τα άτομα που θέλουν να παραμείνουν ασφαλείς από επιθέσεις phishing να χρησιμοποιούν πολλαπλές αμυντικές στρατηγικές.
Για αρχή, υπάρχει η επίθεση πλαστογράφησης ονόματος τομέα, όπου οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν διάφορες τεχνικές για να κρύψουν τη διεύθυνση email τους με το όνομα κάποιου που μπορεί να γνωρίζει ο στόχος, όπως ένα μέλος της οικογένειας ή ανώτερος από τον χώρο εργασίας, περιμένοντας να μην πάει δεν μπορούν να διασφαλίσουν ότι το μήνυμα ηλεκτρονικού ταχυδρομείου προέρχεται από τη συγκαλυμμένη διεύθυνση ηλεκτρονικού ταχυδρομείου, κοινοποίησε ο McQuiggan.
"Οι άνθρωποι δεν πρέπει να αποδέχονται τυφλά το όνομα στο πεδίο "Από", προειδοποίησε ο McQuiggan, προσθέτοντας ότι θα πρέπει τουλάχιστον να πηγαίνουν πίσω από το εμφανιζόμενο όνομα και να επαληθεύουν τη διεύθυνση email."Εάν δεν είναι βέβαιοι, μπορούν πάντα να επικοινωνήσουν με τον αποστολέα μέσω μιας δευτερεύουσας μεθόδου, όπως μήνυμα κειμένου ή τηλεφωνική κλήση, για να επαληθεύσουν ότι ο αποστολέας είχε σκοπό να στείλει το email", πρότεινε.
Ωστόσο, στην επίθεση αναμετάδοσης SMTP που περιγράφεται από τον Avanan, δεν αρκεί μόνο η εμπιστοσύνη σε ένα email κοιτάζοντας τη διεύθυνση email του αποστολέα, καθώς το μήνυμα φαίνεται να προέρχεται από μια νόμιμη διεύθυνση.
"Ευτυχώς, αυτό είναι το μόνο πράγμα που διαφοροποιεί αυτήν την επίθεση από τα κανονικά μηνύματα ηλεκτρονικού "ψαρέματος"", επεσήμανε ο Clements. Το δόλιο email θα εξακολουθεί να έχει τα ενδεικτικά σημάδια του phishing, κάτι που πρέπει να αναζητήσουν οι άνθρωποι.
Για παράδειγμα, ο Κλέμεντς είπε ότι το μήνυμα μπορεί να περιέχει ένα ασυνήθιστο αίτημα, ειδικά εάν μεταφέρεται ως επείγον θέμα. Θα είχε επίσης αρκετά τυπογραφικά λάθη και άλλα γραμματικά λάθη. Μια άλλη κόκκινη σημαία θα ήταν οι σύνδεσμοι στο μήνυμα ηλεκτρονικού ταχυδρομείου που δεν πηγαίνουν στον συνήθη ιστότοπο του οργανισμού αποστολέα.
"Όταν έχετε αμφιβολίες, και θα πρέπει σχεδόν πάντα να έχετε αμφιβολίες, [οι άνθρωποι] θα πρέπει πάντα να χρησιμοποιούν αξιόπιστες διαδρομές, όπως να πηγαίνουν απευθείας στον ιστότοπο της εταιρείας ή να καλούν τον αριθμό υποστήριξης που αναγράφεται εκεί για επαλήθευση, αντί να κάνουν κλικ σε συνδέσμους ή επικοινωνώντας με αριθμούς τηλεφώνου ή email που αναφέρονται στο ύποπτο μήνυμα», συμβούλεψε ο Κρις.
