Ključni izsledki
- Raziskovalci kibernetske varnosti so opazili porast e-poštnih sporočil z lažnim predstavljanjem z zakonitih e-poštnih naslovov.
- Trdijo, da ta lažna sporočila izkoriščajo napako v priljubljeni Googlovi storitvi in ohlapne varnostne ukrepe blagovnih znamk, ki se lažno predstavljajo.
- Bodite pozorni na znake lažnega predstavljanja, tudi če se zdi, da je e-poštno sporočilo od zakonitega stika, predlagajte strokovnjake.
Samo zato, ker ima to e-poštno sporočilo pravo ime in pravilen e-poštni naslov, še ne pomeni, da je legitimno.
Po navedbah strokovnjakov za kibernetsko varnost pri Avananu so akterji lažnega predstavljanja našli način za zlorabo Googlove storitve posredovanja SMTP, ki jim omogoča ponarejanje katerega koli naslova Gmail, vključno z naslovi priljubljenih blagovnih znamk. Nova strategija napada daje goljufivi e-pošti legitimnost in ji omogoča, da preslepi ne le prejemnika, ampak tudi avtomatizirane varnostne mehanizme e-pošte.
»Akterji groženj vedno iščejo naslednji razpoložljivi vektor napada in zanesljivo najdejo ustvarjalne načine za izogibanje varnostnim kontrolam, kot je filtriranje neželene pošte, « je za Lifewire po elektronski pošti povedal Chris Clements, podpredsednik za arhitekturo rešitev pri Cerberus Sentinel. "Kot navaja raziskava, je ta napad uporabil Googlovo storitev posredovanja SMTP, vendar je v zadnjem času prišlo do porasta napadalcev, ki izkoriščajo 'zaupanja vredne' vire."
Ne verjemite svojim očem
Google ponuja storitev posredovanja SMTP, ki jo uporabljajo uporabniki Gmaila in Google Workspace za usmerjanje odhodne e-pošte. Napaka je po Avananu lažnim predstavljanjem omogočila pošiljanje zlonamernih e-poštnih sporočil z lažnim predstavljanjem katerega koli e-poštnega naslova Gmail in Google Workspace. V dveh tednih aprila 2022 je Avanan opazil skoraj 30.000 takih lažnih e-poštnih sporočil.
V izmenjavi e-pošte z Lifewire je Brian Kime, podpredsednik, obveščevalna strategija in svetovanje pri ZeroFox, delil, da imajo podjetja dostop do več mehanizmov, vključno z DMARC, ogrodjem pravilnika pošiljatelja (SPF) in domensko identificirano pošto (DKIM), ki v bistvu pomagajo prejemnim e-poštnim strežnikom zavrniti ponarejena e-poštna sporočila in celo prijaviti zlonamerno dejavnost nazaj lažno predstavljeni blagovni znamki.
Ko ste v dvomih, in skoraj vedno bi morali biti v dvomih, naj [ljudje] vedno uporabljajo zaupanja vredne poti … namesto da klikajo povezave …
"Zaupanje je ogromno za blagovne znamke. Tako veliko, da imajo CISO vedno več nalog, da vodijo ali pomagajo pri prizadevanjih za zaupanje blagovne znamke," je povedal Kime.
Vendar pa je James McQuiggan, zagovornik ozaveščenosti o varnosti pri KnowBe4, povedal Lifewire po e-pošti, da se ti mehanizmi ne uporabljajo tako pogosto, kot bi se morali, in zlonamerne kampanje, kot je tista, o kateri poroča Avanan, izkoriščajo takšno ohlapnost. V svoji objavi je Avanan opozoril na Netflix, ki je uporabljal DMARC in ni bil ponarejen, medtem ko je Trello, ki ne uporablja DMARC, bil.
Ko ste v dvomih
Clements je dodal, da čeprav raziskava Avanana kaže, da so napadalci izrabili Googlovo storitev posredovanja SMTP, podobni napadi vključujejo ogrožanje prvotnih e-poštnih sistemov žrtve in nato uporabo tega za nadaljnje lažne napade na njihov celoten seznam stikov.
Zato je predlagal ljudem, ki se želijo zaščititi pred lažnim predstavljanjem, naj uporabijo več obrambnih strategij.
Za začetek je tu napad lažnega imena domene, pri katerem kibernetski kriminalci uporabljajo različne tehnike, da skrijejo svoj e-poštni naslov z imenom nekoga, ki ga tarča morda pozna, na primer družinskega člana ali nadrejenega iz službe, in pričakujejo, da ne bo šel da bi zagotovili, da e-pošta prihaja s prikritega e-poštnega naslova, je delil McQuiggan.
"Ljudje ne bi smeli slepo sprejeti imena v polju 'Od', " je opozoril McQuiggan in dodal, da bi morali vsaj iti za prikaznim imenom in preveriti e-poštni naslov."Če niso prepričani, se lahko vedno obrnejo na pošiljatelja prek sekundarne metode, kot je SMS ali telefonski klic, da preverijo pošiljatelja, ki naj bi poslal e-pošto," je predlagal.
Vendar pa pri napadu posrednika SMTP, ki ga je opisal Avanan, zaupanje e-pošti tako, da si ogledate pošiljateljev e-poštni naslov, ni dovolj, saj bo videti, da sporočilo prihaja z zakonitega naslova.
"Na srečo je to edina stvar, ki ta napad razlikuje od običajnih lažnih e-poštnih sporočil," je poudaril Clements. Goljufivo e-poštno sporočilo bo še vedno imelo znake lažnega predstavljanja, na kar morajo ljudje biti pozorni.
Clements je na primer dejal, da lahko sporočilo vsebuje nenavadno zahtevo, še posebej, če je posredovana kot nujna zadeva. Imel bi tudi več tipkarskih in drugih slovničnih napak. Druga rdeča zastavica bi bile povezave v e-pošti, ki ne vodijo na običajno spletno mesto organizacije pošiljatelja.
"Ko ste v dvomih, in skoraj vedno bi morali biti v dvomih, naj [ljudje] vedno uporabljajo zaupanja vredne poti, kot je neposredno obiskanje spletnega mesta podjetja ali klic tam navedene številke za podporo za preverjanje, namesto da klikajo povezave ali vzpostavitev stika s telefonskimi številkami ali e-poštnimi naslovi, navedenimi v sumljivem sporočilu, «je svetoval Chris.
