Ключевые выводы
- Исследователи кибербезопасности заметили всплеск фишинговых писем с законных адресов электронной почты.
- Они утверждают, что эти поддельные сообщения используют недостаток в популярном сервисе Google и слабые меры безопасности со стороны выдающихся брендов.
- Следите за явными признаками фишинга, даже если электронное письмо отправлено законным контактным лицом, советуют эксперты.
То, что это электронное письмо имеет правильное имя и правильный адрес электронной почты, не означает, что оно является законным.
По словам специалистов по кибербезопасности в Avanan, мошенники нашли способ злоупотребить службой ретрансляции SMTP Google, которая позволяет им подделывать любой адрес Gmail, в том числе адреса популярных брендов. Новая стратегия атаки придает легитимность мошеннической электронной почте, позволяя обмануть не только получателя, но и автоматические механизмы безопасности электронной почты.
«Субъекты угроз всегда ищут следующий доступный вектор атаки и надежно находят творческие способы обхода средств контроля безопасности, таких как фильтрация спама», - сказал Lifewire по электронной почте Крис Клементс, вице-президент по архитектуре решений в Cerberus Sentinel. «Как говорится в исследовании, в этой атаке использовалась служба ретрансляции Google SMTP, но в последнее время наблюдается рост числа злоумышленников, использующих «надежные» источники».
Не верь своим глазам
Google предлагает службу ретрансляции SMTP, которая используется пользователями Gmail и Google Workspace для маршрутизации исходящих сообщений электронной почты. Уязвимость, по словам Аванана, позволяла фишерам рассылать вредоносные электронные письма, выдавая себя за любой адрес электронной почты Gmail и Google Workspace. В течение двух недель в апреле 2022 года Аванан заметил около 30 000 таких поддельных электронных писем.
В переписке с Lifewire Брайан Ким, вице-президент ZeroFox по стратегии разведки и консультированию, сообщил, что предприятия имеют доступ к нескольким механизмам, включая DMARC, Sender Policy Framework (SPF) и DomainKeys Identified Mail (DKIM)., которые, по сути, помогают принимающим почтовым серверам отклонять поддельные электронные письма и даже сообщать о вредоносной активности поддельному бренду.
В случае сомнений, а вы почти всегда должны сомневаться, [люди] всегда должны использовать надежные пути… вместо того, чтобы щелкать ссылки…
«Доверие к брендам огромно. Настолько велико, что директорам по информационной безопасности все чаще приходится руководить усилиями по укреплению доверия к бренду или помогать им», - поделилась Киме.
Однако Джеймс МакКигган, защитник осведомленности о безопасности в KnowBe4, сообщил Lifewire по электронной почте, что эти механизмы не так широко используются, как должны были бы, и вредоносные кампании, подобные той, о которой сообщил Avanan, используют такую слабость. В своем посте Аванан указал на Netflix, который использовал DMARC и не был подделан, в то время как Trello, который не использует DMARC, был.
Когда сомневаетесь
Клементс добавил, что, хотя исследование Avanan показывает, что злоумышленники использовали службу ретрансляции SMTP Google, аналогичные атаки включают компрометацию первоначальных систем электронной почты жертвы, а затем использование ее для дальнейших фишинговых атак на весь их список контактов.
Вот почему он предложил людям, стремящимся защититься от фишинговых атак, использовать несколько защитных стратегий.
Для начала, есть атака с подменой доменного имени, когда киберпреступники используют различные методы, чтобы скрыть свой адрес электронной почты с именем кого-то, кого цель может знать, например, члена семьи или начальника на рабочем месте, ожидая, что они не пойдут изо всех сил стараются убедиться, что электронное письмо приходит с замаскированного адреса электронной почты, - поделился МакКигган.
«Люди не должны слепо принимать имя в поле «От кого», - предупредил МакКигган, добавив, что они должны, по крайней мере, указать отображаемое имя и подтвердить адрес электронной почты.«Если они не уверены, они всегда могут связаться с отправителем с помощью второстепенного метода, такого как текстовое сообщение или телефонный звонок, чтобы убедиться, что отправитель хотел отправить электронное письмо», - предложил он..
Однако в атаке ретрансляции SMTP, описанной Авананом, недостаточно доверять электронной почте, просматривая только адрес электронной почты отправителя, поскольку будет казаться, что сообщение пришло с законного адреса.
«К счастью, это единственное, что отличает эту атаку от обычных фишинговых писем», - отметил Клементс. Мошенническое электронное письмо по-прежнему будет иметь явные признаки фишинга, на что люди должны обращать внимание.
Например, Клементс сказал, что сообщение может содержать необычный запрос, особенно если оно передано как срочное. В нем также будет несколько опечаток и других грамматических ошибок. Еще одним тревожным сигналом могут быть ссылки в электронном письме, которые не ведут на обычный веб-сайт организации-отправителя.
"Если вы сомневаетесь, а вы почти всегда должны сомневаться, [люди] всегда должны использовать надежные пути, такие как прямой переход на веб-сайт компании или звонок по указанному там номеру службы поддержки для проверки, вместо того, чтобы щелкать ссылки или контактные телефоны или адреса электронной почты, указанные в подозрительном сообщении», - посоветовал Крис.
