Key takeaways
- Cybersikkerhedsforskere har bemærket en stigning i phishing-e-mails fra legitime e-mail-adresser.
- De hævder, at disse falske beskeder udnytter en fejl i en populær Google-tjeneste og slappe sikkerhedsforanst altninger fra de efterlignede mærker.
- Hold øje med afslørende tegn på phishing, selv når e-mailen ser ud til at være fra en legitim kontaktperson, foreslå eksperter.
Bare fordi den e-mail har det rigtige navn og en korrekt e-mailadresse, betyder det ikke, at den er legitim.
Ifølge cybersikkerhedseksperter hos Avanan har phishing-aktører fundet en måde at misbruge Googles SMTP-relætjeneste, som giver dem mulighed for at forfalske enhver Gmail-adresse, inklusive adresser fra populære mærker. Den nye angrebsstrategi giver legitimitet til den svigagtige e-mail og lader den narre ikke kun modtageren, men også automatiserede e-mail-sikkerhedsmekanismer.
"Trusselsaktører leder altid efter den næste tilgængelige angrebsvektor og finder pålideligt kreative måder at omgå sikkerhedskontroller som spamfiltrering," fort alte Chris Clements, VP Solutions Architecture hos Cerberus Sentinel, til Lifewire via e-mail. "Som forskningen fastslår, brugte dette angreb Google SMTP-relætjenesten, men der har for nylig været en stigning i angribere, der udnyttede 'pålidelige' kilder."
Don't Trust Your Eyes
Google tilbyder en SMTP-relætjeneste, der bruges af Gmail- og Google Workspace-brugere til at dirigere udgående e-mails. Fejlen, ifølge Avanan, gjorde det muligt for phishere at sende ondsindede e-mails ved at efterligne enhver Gmail- og Google Workspace-e-mailadresse. I løbet af to uger i april 2022 bemærkede Avanan næsten 30.000 sådanne falske e-mails.
I en e-mailudveksling med Lifewire delte Brian Kime, VP, Intelligence Strategy and Advisory hos ZeroFox, at virksomheder har adgang til flere mekanismer, herunder DMARC, Sender Policy Framework (SPF) og DomainKeys Identified Mail (DKIM), som i det væsentlige hjælper modtagende e-mail-servere med at afvise falske e-mails og endda rapportere den ondsindede aktivitet tilbage til det efterlignede brand.
Når du er i tvivl, og du bør næsten altid være i tvivl, bør [folk] altid bruge betroede stier… i stedet for at klikke på links…
"Tilliden er enorm for brands. Så stor, at CISO'er i stigende grad får til opgave at lede eller hjælpe et brands tillidsbestræbelser," delte Kime.
James McQuiggan, fortaler for sikkerhedsbevidsthed hos KnowBe4, fort alte Lifewire via e-mail, at disse mekanismer ikke er så udbredte, som de burde være, og ondsindede kampagner som den, der rapporteres af Avanan, udnytter en sådan slaphed. I deres indlæg pegede Avanan på Netflix, som brugte DMARC og ikke var forfalsket, mens Trello, som ikke bruger DMARC, var.
Når du er i tvivl
Clements tilføjede, at mens Avanan-undersøgelsen viser, at angriberne udnyttede Google SMTP-relætjenesten, omfatter lignende angreb at kompromittere et første offers e-mail-systemer og derefter bruge det til yderligere phishing-angreb på hele deres kontaktliste.
Det er derfor, han foreslog, at folk, der ønsker at forblive sikre mod phishing-angreb, bør anvende flere defensive strategier.
Til at begynde med er der domænenavns-spoofing-angrebet, hvor cyberkriminelle bruger forskellige teknikker til at skjule deres e-mail-adresse med navnet på en, som målet måske kender, f.eks. et familiemedlem eller en overordnet fra arbejdspladsen, og forventer, at de ikke går ud af deres måde at sikre, at e-mailen kommer fra den forklædte e-mail-adresse, delte McQuiggan.
"Folk bør ikke blindt acceptere navnet i 'Fra'-feltet," advarede McQuiggan og tilføjede, at de i det mindste skulle gå bag det viste navn og bekræfte e-mailadressen."Hvis de er usikre, kan de altid kontakte afsenderen via en sekundær metode som sms eller telefonopkald for at bekræfte, at afsenderen havde til hensigt at sende e-mailen," foreslog han.
I SMTP-relæangrebet beskrevet af Avanan er det dog ikke nok at stole på en e-mail ved at se på afsenderens e-mailadresse alene, da meddelelsen ser ud til at komme fra en legitim adresse.
"Heldigvis er det det eneste, der adskiller dette angreb fra normale phishing-e-mails," påpegede Clements. Den bedrageriske e-mail vil stadig have afslørende tegn på phishing, hvilket er, hvad folk skal kigge efter.
For eksempel sagde Clements, at beskeden kan indeholde en usædvanlig anmodning, især hvis den formidles som en presserende sag. Det ville også have flere tastefejl og andre grammatiske fejl. Et andet rødt flag ville være links i e-mailen, der ikke går til afsenderorganisationens sædvanlige websted.
"Når du er i tvivl, og du bør næsten altid være i tvivl, bør [folk] altid bruge betroede stier, såsom at gå direkte til virksomhedens websted eller ringe til supportnummeret, der er anført der for at bekræfte, i stedet for at klikke på links eller at kontakte telefonnumre eller e-mails, der er angivet i den mistænkelige besked, " rådede Chris.