Klíčové poznatky
- Výzkumníci v oblasti kybernetické bezpečnosti zaznamenali nárůst phishingových e-mailů z legitimních e-mailových adres.
- Tvrdí, že tyto falešné zprávy využívají chyby v oblíbené službě Google a laxních bezpečnostních opatření ze strany zosobněných značek.
- Sledujte, zda se u vás neobjeví známky phishingu, i když se zdá, že e-mail pochází od legitimního kontaktu, doporučují odborníci.
To, že má tento e-mail správné jméno a správnou e-mailovou adresu, neznamená, že je legitimní.
Podle kyberbezpečnostních detektivů z Avananu našli phishingoví aktéři způsob, jak zneužít přenosovou službu SMTP společnosti Google, která jim umožňuje podvrhnout jakoukoli adresu Gmailu, včetně adres oblíbených značek. Nová strategie útoku propůjčuje podvodnému e-mailu legitimitu a umožňuje mu oklamat nejen příjemce, ale také automatické mechanismy zabezpečení e-mailu.
„Aktéři hrozeb vždy hledají další dostupný vektor útoku a spolehlivě nacházejí kreativní způsoby, jak obejít bezpečnostní kontroly, jako je filtrování spamu,“řekl Lifewire e-mailem Chris Clements, viceprezident pro architekturu řešení Cerberus Sentinel. "Jak uvádí výzkum, tento útok využíval přenosovou službu Google SMTP, ale nedávno došlo k nárůstu útočníků využívajících "důvěryhodné" zdroje."
Nevěř svým očím
Google nabízí službu přenosu SMTP, kterou používají uživatelé Gmailu a Google Workspace ke směrování odchozích e-mailů. Chyba podle Avanana umožnila phisherům posílat škodlivé e-maily tím, že se vydávali za jakoukoli e-mailovou adresu Gmailu a Google Workspace. Během dvou týdnů v dubnu 2022 si Avanan všiml téměř 30 000 takových falešných e-mailů.
V e-mailové výměně s Lifewire Brian Kime, viceprezident, Intelligence Strategy and Advisory ve společnosti ZeroFox, uvedl, že podniky mají přístup k několika mechanismům, včetně DMARC, Sender Policy Framework (SPF) a DomainKeys Identified Mail (DKIM), které v podstatě pomáhají přijímacím e-mailovým serverům odmítat falešné e-maily a dokonce hlásit škodlivou aktivitu zpět předstírané značce.
Pokud jste na pochybách a vy byste měli být na pochybách téměř vždy, měli by [lidé] vždy používat důvěryhodné cesty… místo klikání na odkazy…
„Důvěra je pro značky obrovská. Tak obrovská, že CISO mají stále více za úkol vést nebo pomáhat značce v úsilí o důvěru,“sdělil Kime.
Avšak James McQuiggan, obhájce povědomí o bezpečnosti ve společnosti KnowBe4, sdělil Lifewire e-mailem, že tyto mechanismy nejsou tak široce používány, jak by měly být, a škodlivé kampaně, jako je ta, kterou uvádí Avanan, využívají takové laxnosti. Avanan ve svém příspěvku poukázal na Netflix, který používal DMARC a nebyl podvržený, zatímco Trello, který nepoužívá DMARC, ano.
Když na pochybách
Clements dodal, že zatímco výzkum společnosti Avanan ukazuje, že útočníci zneužívali službu přenosu SMTP Google, podobné útoky zahrnují kompromitování e-mailových systémů první oběti a jejich následné použití k dalším phishingovým útokům na celý jejich seznam kontaktů.
Proto navrhl, aby lidé, kteří chtějí zůstat v bezpečí před phishingovými útoky, používali různé obranné strategie.
Pro začátek je tu útok falšování doménových jmen, kdy kyberzločinci používají různé techniky ke skrytí své e-mailové adresy se jménem někoho, koho cíl může znát, například člena rodiny nebo nadřízeného z pracoviště, a očekávají, že nepůjdou z cesty, aby zajistili, že e-mail přichází ze skryté e-mailové adresy, kterou sdílel McQuiggan.
"Lidé by neměli slepě přijímat jméno v poli 'Od'," varoval McQuiggan a dodal, že by měli alespoň jít za zobrazované jméno a ověřit e-mailovou adresu.„Pokud si nejsou jisti, mohou se vždy spojit s odesílatelem prostřednictvím sekundární metody, jako je textová zpráva nebo telefonní hovor, a ověřit odesílatele, který chtěl e-mail odeslat,“navrhl.
Avšak u SMTP relay útoku popsaného Avananem důvěřování e-mailu pouhým pohledem na e-mailovou adresu odesílatele nestačí, protože zpráva bude vypadat, jako by přišla z legitimní adresy.
„Naštěstí je to jediná věc, která tento útok odlišuje od běžných phishingových e-mailů,“poukázal Clements. Podvodný e-mail bude mít stále známky phishingu, což by lidé měli hledat.
Clements například řekl, že zpráva může obsahovat neobvyklý požadavek, zejména pokud je předávána jako naléhavá záležitost. Také by obsahoval několik překlepů a dalších gramatických chyb. Další červenou vlajkou by byly odkazy v e-mailu, které nesměřují na obvyklé webové stránky odesílající organizace.
„V případě pochybností a téměř vždy byste měli být na pochybách, [lidé] by měli vždy používat důvěryhodné cesty, jako je například přejít přímo na web společnosti nebo zavolat na tam uvedené číslo podpory a ověřit, než klikají na odkazy nebo kontaktování telefonních čísel nebo e-mailů uvedených v podezřelé zprávě,“poradil Chris.
