A legfontosabb elvitelek
- A kiberbiztonsági kutatók azt észlelték, hogy megnövekedett a jogos e-mail címekről érkező adathalász e-mailek száma.
- Azt állítják, hogy ezek a hamis üzenetek egy népszerű Google-szolgáltatás hibáját és a megszemélyesített márkák laza biztonsági intézkedéseit használják ki.
- Vigyázzon az adathalászat árulkodó jeleire, még akkor is, ha úgy tűnik, hogy az e-mail jogos kapcsolattartótól származik, javasoljon szakértőket.
Az, hogy az e-mail címnek megfelelő a neve és a helyes e-mail-cím, még nem jelenti azt, hogy jogos.
Az Avanan kiberbiztonsági nyomozói szerint az adathalász szereplők megtalálták a módját, hogy visszaéljenek a Google SMTP-közvetítő szolgáltatásával, amely lehetővé teszi számukra, hogy bármilyen Gmail-címet meghamisítsanak, beleértve a népszerű márkákét is. Az új támadási stratégia legitimitást kölcsönöz a csaló e-maileknek, így nemcsak a címzettet, hanem az automatikus e-mail biztonsági mechanizmusokat is megtéveszti.
"A fenyegetés szereplői mindig a következő elérhető támadási vektort keresik, és megbízhatóan találnak kreatív módszereket a biztonsági ellenőrzések, például a spamszűrés megkerülésére" - mondta Chris Clements, a Cerberus Sentinel megoldások architektúrájának alelnöke a Lifewire-nek e-mailben. "Amint a kutatás megállapítja, ez a támadás a Google SMTP továbbító szolgáltatását használta, de a közelmúltban megnőtt a "megbízható" forrásokat kihasználó támadók száma."
Ne bízz a szemedben
A Google SMTP-közvetítő szolgáltatást kínál, amelyet a Gmail és a Google Workspace felhasználói a kimenő e-mailek átirányítására használnak. Avanan szerint a hiba lehetővé tette az adathalászok számára, hogy rosszindulatú e-maileket küldjenek úgy, hogy bármely Gmail és Google Workspace e-mail-címet kiadtak maguknak.2022 áprilisának két hete alatt Avanan közel 30 000 ilyen hamis e-mailt vett észre.
A Lifewire-rel folytatott e-mail üzenetváltásban Brian Kime, a ZeroFox Intelligence Strategy and Advisory részlegének alelnöke elmondta, hogy a vállalkozások számos mechanizmushoz férhetnek hozzá, köztük a DMARC-hoz, a Sender Policy Framework-hez (SPF) és a DomainKeys Identified Mail-hez (DKIM)., amelyek lényegében segítenek a fogadó e-mail szervereknek abban, hogy elutasítsák a hamisított e-maileket, és még a rosszindulatú tevékenységet is visszajelentsék a megszemélyesített márkának.
Ha kétségei vannak, és szinte mindig kételkednie kell, [az embereknek] mindig megbízható útvonalakat kell használniuk… a hivatkozások kattintása helyett…
"A bizalom óriási a márkák számára. Olyan hatalmas, hogy a CISO-k egyre inkább feladata a márka bizalmi törekvéseinek irányítása vagy segítése" - osztotta meg Kime.
Azonban James McQuiggan, a KnowBe4 biztonságtudatossági szószólója e-mailben elmondta a Lifewire-nek, hogy ezeket a mechanizmusokat nem használják olyan széles körben, mint kellene, és az olyan rosszindulatú kampányok, mint amilyen az Avanan számolt be, kihasználják az ilyen lazaságot. Bejegyzésében Avanan a Netflixre mutatott rá, amely DMARC-ot használt, és nem hamisított, míg a Trellóra, amely nem használ DMARC-ot, az volt.
Ha kételkedsz
Clements hozzátette, hogy míg az Avanan kutatás azt mutatja, hogy a támadók kihasználták a Google SMTP-továbbító szolgáltatását, a hasonló támadások közé tartozik, hogy feltörik az első áldozat e-mail rendszerét, majd ezt felhasználják további adathalász támadásokra a teljes névjegyzékben.
Ezért azt javasolta az adathalász támadásokkal szembeni biztonságban maradó embereknek, hogy alkalmazzanak többféle védekezési stratégiát.
Először is létezik a domainnév-hamisítási támadás, ahol a kiberbűnözők különféle technikákkal rejtik el az e-mail címüket egy olyan személy nevével, akit a célpont ismerhet, például egy családtag vagy egy felettese a munkahelyről, és elvárják, hogy ne menjenek el. nem teheti meg, hogy az e-mail az álcázott e-mail címről érkezzen – osztotta meg McQuiggan.
„Az emberek nem fogadhatják el vakon a „Feladó” mezőben szereplő nevet” – figyelmeztetett McQuiggan, hozzátéve, hogy legalább a megjelenített név mögé kell menniük, és ellenőrizniük kell az e-mail címet."Ha nem biztosak benne, mindig megkereshetik a feladót másodlagos módszerrel, például szöveges üzenettel vagy telefonhívással, hogy igazolják, hogy az e-mailt küldeni szándékozó feladó-e" - javasolta.
Avanan által leírt SMTP-közvetítő támadásban azonban nem elég az e-mailben bízni, ha megnézi a feladó e-mail-címét, mivel úgy tűnik, hogy az üzenet legitim címről érkezik.
"Szerencsére ez az egyetlen dolog, ami megkülönbözteti ezt a támadást a normál adathalász e-mailektől" - mutatott rá Clements. A csaló e-mail továbbra is tartalmazni fogja az adathalászat árulkodó jeleit, amire az embereknek figyelniük kell.
Clements például azt mondta, hogy az üzenet szokatlan kérést tartalmazhat, különösen, ha sürgős ügyként adják át. Több elírási és egyéb nyelvtani hibája is lenne. Egy másik piros zászló az e-mailben található hivatkozások, amelyek nem a küldő szervezet szokásos webhelyére vezetnek.
"Ha kétségei vannak, és szinte mindig kételkednie kell, [az embereknek] mindig megbízható útvonalakat kell használniuk, például közvetlenül a vállalat webhelyére kell menniük, vagy fel kell hívniuk az ott található ügyfélszolgálati számot az ellenőrzés érdekében, ahelyett, hogy hivatkozásokra vagy linkekre kattintanak. felvenni a kapcsolatot a gyanús üzenetben felsorolt telefonszámokkal vagy e-mail címekkel” – tanácsolta Chris.