Keeawayt
- Kyberturvallisuustutkijat ovat havainneet laillisista sähköpostiosoitteista tulevien tietojenkalasteluviestien määrän lisääntyneen.
- He väittävät, että näissä väärennetyissä viesteissä hyödynnetään suositun Google-palvelun virhettä ja jäljiteltyjen tuotemerkkien löyhiä turvatoimia.
- Varo tietojenkalastelun merkkejä, vaikka sähköposti näyttäisi olevan lailliselta yhteyshenkilöltä, ehdota asiantuntijoita.
Se, että sähköpostilla on oikea nimi ja oikea sähköpostiosoite, ei tarkoita, että se on laillinen.
Avananin kyberturvallisuustutkijoiden mukaan tietojenkalastelutoimijat ovat löytäneet tavan käyttää väärin Googlen SMTP-välityspalvelua, jonka avulla he voivat huijata minkä tahansa Gmail-osoitteen, myös suosittujen merkkien osoitteet. Uusi hyökkäysstrategia luo legitiimiyttä petolliselle sähköpostille ja antaa sen huijata vastaanottajan lisäksi myös automaattisia sähköpostin suojamekanismeja.
"Uhkatoimijat etsivät aina seuraavaa saatavilla olevaa hyökkäysvektoria ja löytävät luotettavasti luovia tapoja ohittaa turvatarkastukset, kuten roskapostin suodatus", Chris Clements, Cerberus Sentinelin ratkaisuarkkitehtuurijohtaja, kertoi Lifewirelle sähköpostitse. "Kuten tutkimuksessa todetaan, tämä hyökkäys käytti Googlen SMTP-välityspalvelua, mutta hyökkääjien määrä on viime aikoina lisääntynyt "luotettavista" lähteistä."
Älä luota silmiisi
Google tarjoaa SMTP-välityspalvelun, jota Gmailin ja Google Workspacen käyttäjät käyttävät lähtevien sähköpostien reitittämiseen. Avananin mukaan virheen ansiosta tietojenkalastelijat voivat lähettää haitallisia sähköposteja esiintymällä mitä tahansa Gmail- tai Google Workspace -sähköpostiosoitetta. Kahden viikon aikana huhtikuussa 2022 Avanan huomasi lähes 30 000 tällaista valesähköpostia.
Lifewiren kanssa käydyssä sähköpostinvaihdossa ZeroFoxin tiedustelustrategiasta ja neuvonnasta vastaava johtaja Brian Kime kertoi, että yrityksillä on pääsy useisiin mekanismeihin, mukaan lukien DMARC, Sender Policy Framework (SPF) ja DomainKeys Identified Mail (DKIM), jotka auttavat vastaanottavia sähköpostipalvelimia torjumaan huijaussähköpostit ja jopa ilmoittamaan haitallisesta toiminnasta takaisin jäljittelemälle tuotemerkille.
Jos olet epävarma, ja sinun pitäisi melkein aina olla epävarma, [ihmisten] tulisi aina käyttää luotettuja polkuja… linkkien napsautuksen sijaan…
"Luottamus on v altava brändeille. Niin v altava, että CISO:n tehtävänä on yhä useammin johtaa tai auttaa brändin luottamustoimia", Kime jakoi.
James McQuiggan, KnowBe4:n turvallisuustietoisuuden puolestapuhuja, kertoi Lifewirelle sähköpostitse, että näitä mekanismeja ei käytetä niin laajasti kuin niiden pitäisi olla, ja Avananin raportoiman k altaiset haitalliset kampanjat käyttävät hyväkseen tällaista löysyyttä. Viestissään Avanan viittasi Netflixiin, joka käytti DMARCia, eikä sitä huijattu, kun taas Trelloon, joka ei käytä DMARCia.
Epäilyksenä
Clements lisäsi, että vaikka Avananin tutkimus osoittaa, että hyökkääjät käyttivät hyväkseen Googlen SMTP-välityspalvelua, samank altaisiin hyökkäyksiin kuuluu ensimmäisen uhrin sähköpostijärjestelmien vaarantaminen ja sen käyttäminen uusiin tietojenkalasteluhyökkäuksiin koko yhteystietoluettelossa.
Tästä syystä hän ehdotti ihmisten, jotka haluavat pysyä turvassa tietojenkalasteluhyökkäyksiä vastaan, käyttämään useita puolustusstrategioita.
Aluksi kyseessä on verkkotunnusten huijaushyökkäys, jossa verkkorikolliset käyttävät erilaisia tekniikoita piilottaakseen sähköpostiosoitteensa jonkun henkilön nimellä, jonka kohde saattaa tuntea, kuten perheenjäsenen tai esimieheen työpaik alta odottaen, että he eivät mene McQuiggan kertoi, etteivät he pysty varmistamaan, että sähköposti tulee peitellystä sähköpostiosoitteesta.
"Ihmisten ei pitäisi sokeasti hyväksyä Lähettäjä-kentässä olevaa nimeä", McQuiggan varoitti ja lisäsi, että heidän tulisi ainakin mennä näyttönimen taakse ja vahvistaa sähköpostiosoite."Jos he ovat epävarmoja, he voivat aina ottaa yhteyttä lähettäjään toissijaisella menetelmällä, kuten tekstiviestillä tai puhelulla varmistaakseen lähettäjän, jonka tarkoituksena oli lähettää sähköposti", hän ehdotti.
Avananin kuvaamassa SMTP-välityshyökkäyksessä ei kuitenkaan riitä, että sähköpostiin luotetaan katsomalla lähettäjän sähköpostiosoitetta, koska viesti näyttää tulevan laillisesta osoitteesta.
"Onneksi se on ainoa asia, joka erottaa tämän hyökkäyksen tavallisista tietojenkalasteluviesteistä", Clements huomautti. Vilpillinen sähköposti sisältää edelleen tietojenkalastelun merkkejä, joita ihmisten tulee etsiä.
Esimerkiksi Clements sanoi, että viesti saattaa sisältää epätavallisen pyynnön, varsinkin jos se välitetään kiireellisenä asiana. Siinä olisi myös useita kirjoitus- ja muita kielioppivirheitä. Toinen punainen lippu olisi sähköpostissa olevat linkit, jotka eivät mene lähettäjän organisaation tavalliselle verkkosivustolle.
"Jos olet epävarma, ja sinun pitäisi melkein aina olla epävarma, [ihmisten] tulisi aina käyttää luotettavia polkuja, kuten mennä suoraan yrityksen verkkosivustolle tai soittaa siellä olevaan tukinumeroon vahvistaaksesi sen, sen sijaan että klikattaisiin linkkejä tai ottaa yhteyttä epäilyttävässä viestissä mainittuihin puhelinnumeroihin tai sähköposteihin", Chris neuvoi.
