Mga Key Takeaway
- Napansin ng mga mananaliksik sa cybersecurity ang pagtaas ng mga phishing email mula sa mga lehitimong email address.
- Inaaangkin nila na sinasamantala ng mga pekeng mensaheng ito ang isang depekto sa isang sikat na serbisyo ng Google at mahinang mga hakbang sa seguridad ng mga nagpapanggap na brand.
- Panatilihing bantayan ang mga nakakaalam na palatandaan ng phishing, kahit na ang email ay mukhang mula sa isang lehitimong contact, magmungkahi ng mga eksperto.
Hindi nangangahulugang lehitimo na ang email na iyon dahil may tamang pangalan at tamang email address ang email na iyon.
Ayon sa mga cybersecurity sleuth sa Avanan, nakahanap ang mga phishing actor ng paraan para abusuhin ang SMTP relay service ng Google, na nagbibigay-daan sa kanila na manloko ng anumang Gmail address, kabilang ang mga sikat na brand. Ang nobelang diskarte sa pag-atake ay nagbibigay ng lehitimo sa mapanlinlang na email, na hinahayaan itong lokohin hindi lang ang tatanggap kundi pati na rin ang mga awtomatikong mekanismo ng seguridad ng email.
"Palaging hinahanap ng mga banta ng aktor ang susunod na available na vector ng pag-atake at mapagkakatiwalaang nakakahanap ng mga malikhaing paraan upang laktawan ang mga kontrol sa seguridad tulad ng pag-filter ng spam," sabi ni Chris Clements, VP Solutions Architecture sa Cerberus Sentinel, sa Lifewire sa pamamagitan ng email. "Tulad ng isinasaad ng pananaliksik, ginamit ng pag-atakeng ito ang serbisyo ng Google SMTP relay, ngunit nagkaroon ng kamakailang pagtaas sa mga umaatake na gumagamit ng 'pinagkakatiwalaang' source."
Huwag Magtiwala sa Iyong mga Mata
Nag-aalok ang Google ng serbisyo ng SMTP relay na ginagamit ng mga user ng Gmail at Google Workspace para iruta ang mga papalabas na email. Ang kapintasan, ayon kay Avana, ay nagbigay-daan sa mga phisher na magpadala ng mga nakakahamak na email sa pamamagitan ng pagpapanggap bilang anumang Gmail at Google Workspace email address. Sa loob ng dalawang linggo noong Abril 2022, napansin ng Avana ang halos 30, 000 tulad ng mga pekeng email.
Sa isang email exchange kay Lifewire, ibinahagi ni Brian Kime, VP, Intelligence Strategy at Advisory sa ZeroFox, na may access ang mga negosyo sa ilang mekanismo, kabilang ang DMARC, Sender Policy Framework (SPF), at DomainKeys Identified Mail (DKIM), na mahalagang nakakatulong sa pagtanggap ng mga email server na tanggihan ang mga na-spoof na email at kahit na iulat ang nakakahamak na aktibidad pabalik sa ginagaya na brand.
Kapag nag-aalinlangan, at dapat ay halos palaging nagdududa, dapat palaging gumamit ang [mga tao] ng mga pinagkakatiwalaang landas… sa halip na mag-click sa mga link…
"Napakalaki ng tiwala para sa mga brand. Napakalaki kaya ang mga CISO ay lalong naatasan na manguna o tumulong sa mga pagsisikap ng tiwala ng isang brand," ibinahagi ni Kime.
Gayunpaman, sinabi ni James McQuiggan, tagapagtaguyod ng kamalayan sa seguridad sa KnowBe4, sa Lifewire sa pamamagitan ng email na ang mga mekanismong ito ay hindi gaanong ginagamit gaya ng nararapat, at sinasamantala ng mga nakakahamak na kampanya tulad ng iniulat ng Avana ang gayong kawalang-galang. Sa kanilang post, itinuro ni Avana ang Netflix, na gumamit ng DMARC at hindi na-spoof, habang si Trello, na hindi gumagamit ng DMARC, ay.
Kapag may Pagdududa
Idinagdag ni Clements na habang ipinapakita ng pananaliksik sa Avana na sinamantala ng mga umaatake ang serbisyo ng Google SMTP relay, kabilang sa mga katulad na pag-atake ang pagkompromiso sa mga email system ng unang biktima at pagkatapos ay gamitin iyon para sa karagdagang pag-atake ng phishing sa kanilang buong listahan ng contact.
Ito ang dahilan kung bakit iminungkahi niya ang mga taong naghahanap upang manatiling ligtas mula sa mga pag-atake ng phishing ay dapat gumamit ng maraming diskarte sa pagtatanggol.
Para sa panimula, nariyan ang domain name spoofing attack, kung saan gumagamit ang mga cybercriminal ng iba't ibang diskarte upang itago ang kanilang email address na may pangalan ng isang taong maaaring kilala ng target, tulad ng isang miyembro ng pamilya o superyor mula sa lugar ng trabaho, na umaasang hindi sila pupunta out of their way para matiyak na ang email ay nagmumula sa disguised email address, shared McQuiggan.
"Hindi dapat basta-basta tanggapin ng mga tao ang pangalan sa field na 'Mula kay'," babala ni McQuiggan, at idinagdag na dapat silang pumunta sa likod ng display name at i-verify ang email address."Kung hindi sila sigurado, maaari nilang palaging makipag-ugnayan sa nagpadala sa pamamagitan ng pangalawang paraan tulad ng text o tawag sa telepono upang i-verify ang nagpadala na nais magpadala ng email," iminungkahi niya.
Gayunpaman, sa SMTP relay attack na inilarawan ni Avanan na nagtitiwala sa isang email sa pamamagitan ng pagtingin sa email address ng nagpadala lamang ay hindi sapat dahil ang mensahe ay lalabas na mula sa isang lehitimong address.
"Sa kabutihang palad, iyon lang ang nag-iiba sa pag-atakeng ito sa mga normal na email ng phishing," itinuro ni Clements. Ang mapanlinlang na email ay magkakaroon pa rin ng mga palatandaan ng phishing, na dapat hanapin ng mga tao.
Halimbawa, sinabi ni Clements na ang mensahe ay maaaring naglalaman ng hindi pangkaraniwang kahilingan, lalo na kung ito ay inihahatid bilang isang apurahang bagay. Magkakaroon din ito ng ilang mga typo at iba pang mga pagkakamali sa gramatika. Ang isa pang pulang bandila ay ang mga link sa email na hindi pumupunta sa karaniwang website ng organisasyon ng nagpadala.
"Kapag nag-aalinlangan, at dapat ay halos palaging nagdududa, dapat palaging gumamit ang [mga tao] ng mga pinagkakatiwalaang landas gaya ng direktang pagpunta sa website ng kumpanya o pagtawag sa numero ng suporta na nakalista doon upang i-verify, sa halip na i-click ang mga link o pakikipag-ugnayan sa mga numero ng telepono o mga email na nakalista sa kahina-hinalang mensahe, " payo ni Chris.