Sleutel wegneemetes
- Kuberveiligheidsnavorsers het 'n toename in uitvissing-e-posse vanaf wettige e-posadresse opgemerk.
- Hulle beweer dat hierdie vals boodskappe voordeel trek uit 'n fout in 'n gewilde Google-diens en lakse sekuriteitsmaatreëls deur die nagebootste handelsmerke.
- Hou op die uitkyk vir tekens van uitvissing, selfs wanneer dit lyk of die e-pos van 'n wettige kontak kom, stel kundiges voor.
Net omdat daardie e-pos die regte naam en 'n korrekte e-posadres het, beteken dit nie dat dit wettig is nie.
Volgens kuberveiligheidsspeurders by Avanan, het uitvissing-akteurs 'n manier gevind om Google se SMTP-aflosdiens te misbruik, wat hulle toelaat om enige Gmail-adres te bedrieg, insluitend dié van gewilde handelsmerke. Die nuwe aanvalstrategie verleen legitimiteit aan die bedrieglike e-pos en laat dit nie net die ontvanger mislei nie, maar ook outomatiese e-possekuriteitsmeganismes.
"Bedreigingsakteurs soek altyd na die volgende beskikbare aanvalsvektor en vind betroubaar kreatiewe maniere om sekuriteitskontroles soos strooiposfiltrering te omseil," het Chris Clements, VP Solutions Architecture by Cerberus Sentinel, per e-pos aan Lifewire gesê. "Soos die navorsing sê, het hierdie aanval die Google SMTP-aflosdiens gebruik, maar daar was onlangs 'n toename in aanvallers wat 'betroubare' bronne gebruik het."
Moenie jou oë vertrou nie
Google bied 'n SMTP-aflosdiens wat deur Gmail- en Google Workspace-gebruikers gebruik word om uitgaande e-posse te stuur. Die fout, volgens Avanan, het phishers in staat gestel om kwaadwillige e-posse te stuur deur enige Gmail- en Google Workspace-e-posadres na te boots. Gedurende twee weke in April 2022 het Avanan byna 30 000 sulke vals e-posse opgemerk.
In 'n e-posuitruiling met Lifewire het Brian Kime, VP, Intelligence Strategy and Advisory by ZeroFox, gedeel dat besighede toegang het tot verskeie meganismes, insluitend DMARC, Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM), wat in wese die ontvangs van e-posbedieners help om vervalste e-posse te verwerp en selfs die kwaadwillige aktiwiteit aan die nagebootste handelsmerk terug te rapporteer.
Wanneer jy twyfel, en jy moet amper altyd twyfel, moet [mense] altyd vertroude paaie gebruik… in plaas daarvan om skakels te klik…
"Vertroue is groot vir handelsmerke. So groot dat CISO's toenemend die taak kry om 'n handelsmerk se vertrouepogings te lei of te help," het Kime gedeel.
James McQuiggan, advokaat vir sekuriteitsbewustheid by KnowBe4, het egter per e-pos aan Lifewire gesê dat hierdie meganismes nie so wyd gebruik word as wat dit behoort te wees nie, en kwaadwillige veldtogte soos die een wat deur Avanan gerapporteer word, trek voordeel uit sulke laksheid. In hul plasing het Avanan gewys na Netflix, wat DMARC gebruik het en nie bedrieg is nie, terwyl Trello, wat nie DMARC gebruik nie, was.
When in Doubt
Clements het bygevoeg dat hoewel die Avanan-navorsing toon dat die aanvallers die Google SMTP-aflosdiens uitgebuit het, soortgelyke aanvalle die kompromie van 'n aanvanklike slagoffer se e-posstelsels insluit en dit dan vir verdere uitvissing-aanvalle op hul hele kontaklys gebruik.
Dit is hoekom hy voorgestel het dat mense wat veilig wil bly teen uitvissing-aanvalle, verskeie verdedigingstrategieë moet gebruik.
Om mee te begin, is daar die domeinnaam-spoofing-aanval, waar kubermisdadigers verskeie tegnieke gebruik om hul e-posadres weg te steek met die naam van iemand wat die teiken dalk ken, soos 'n familielid of meerdere van die werkplek, en verwag dat hulle nie gaan nie uit hul pad om te verseker dat die e-pos van die vermomde e-posadres af kom, het McQuiggan gedeel.
"Mense moet nie blindelings die naam in die 'Van'-veld aanvaar nie," het McQuiggan gewaarsku en bygevoeg dat hulle ten minste agter die vertoonnaam moet gaan en die e-posadres moet verifieer."As hulle onseker is, kan hulle altyd na die sender uitreik via 'n sekondêre metode soos teks of telefoonoproep om te verifieer dat die sender bedoel is om die e-pos te stuur," het hy voorgestel.
In die SMTP-aflosaanval wat deur Avanan beskryf is, is dit egter nie genoeg om 'n e-pos te vertrou deur na die sender se e-posadres alleen te kyk nie, aangesien die boodskap blykbaar van 'n wettige adres af kom.
"Gelukkig is dit die enigste ding wat hierdie aanval van gewone uitvissing-e-posse onderskei," het Clements gewys. Die bedrieglike e-pos sal steeds die duidelike tekens van uitvissing hê, en dit is waarna mense moet kyk.
Clements het byvoorbeeld gesê dat die boodskap 'n ongewone versoek kan bevat, veral as dit as 'n dringende aangeleentheid oorgedra word. Dit sal ook verskeie tikfoute en ander grammatikale foute hê. Nog 'n rooi vlag sal skakels in die e-pos wees wat nie na die senderorganisasie se gewone webwerf gaan nie.
"Wanneer jy twyfel, en jy moet amper altyd twyfel, moet [mense] altyd vertroude paaie gebruik, soos om direk na die maatskappy se webwerf te gaan of die ondersteuningsnommer wat daar gelys is te bel om te verifieer, in plaas daarvan om op skakels te klik of kontak telefoonnommers of e-posse wat in die verdagte boodskap gelys is,” het Chris aangeraai.
