Atslēgas līdzņemšanai
- Kiberdrošības pētnieki ir novērojuši pikšķerēšanas e-pasta ziņojumu skaita pieaugumu no likumīgām e-pasta adresēm.
- Viņi apgalvo, ka šajos viltus ziņojumos tiek izmantots populārā Google pakalpojuma trūkums un uzdoto zīmolu vājie drošības pasākumi.
- Sekojiet līdzi, vai nerodas pikšķerēšanas pazīmes, pat ja šķiet, ka e-pasta ziņojums ir no likumīgas kontaktpersonas, iesakiet ekspertus.
Tas, ka šai e-pasta adresei ir pareizais nosaukums un pareiza e-pasta adrese, nenozīmē, ka tā ir likumīga.
Saskaņā ar Avananas kiberdrošības meklētājiem, pikšķerēšanas dalībnieki ir atraduši veidu, kā ļaunprātīgi izmantot Google SMTP pārraides pakalpojumu, kas ļauj viņiem izkrāpt jebkuru Gmail adresi, tostarp populāru zīmolu adresi. Jaunā uzbrukuma stratēģija piešķir krāpnieciskam e-pastam likumību, ļaujot tam apmānīt ne tikai adresātu, bet arī automatizētus e-pasta drošības mehānismus.
"Draudu dalībnieki vienmēr meklē nākamo pieejamo uzbrukuma vektoru un droši atrod radošus veidus, kā apiet drošības kontroles, piemēram, surogātpasta filtrēšanu," e-pastā Lifewire pastāstīja Kriss Klements, Cerberus Sentinel risinājumu arhitektūras viceprezidents. "Pētījumā teikts, ka šajā uzbrukumā tika izmantots Google SMTP pārraides pakalpojums, taču pēdējā laikā ir pieaudzis uzbrucēju skaits, kas izmanto "uzticamus" avotus."
Neuzticies savām acīm
Google piedāvā SMTP pārraides pakalpojumu, ko Gmail un Google Workspace lietotāji izmanto, lai maršrutētu izejošos e-pasta ziņojumus. Saskaņā ar Avanan teikto, šis trūkums ļāva pikšķerētājiem sūtīt ļaunprātīgus e-pasta ziņojumus, uzdodoties par jebkuru Gmail un Google Workspace e-pasta adresi.2022. gada aprīļa divu nedēļu laikā Avanans pamanīja gandrīz 30 000 šādu viltus e-pasta ziņojumu.
E-pasta apmaiņā ar Lifewire Braiens Kims, ZeroFox izlūkošanas stratēģijas un konsultāciju nodaļas viceprezidents, pastāstīja, ka uzņēmumiem ir piekļuve vairākiem mehānismiem, tostarp DMARC, Sender Policy Framework (SPF) un DomainKeys Identified Mail (DKIM), kas būtībā palīdz saņemšanas e-pasta serveriem noraidīt viltotus e-pasta ziņojumus un pat ziņot par ļaunprātīgu darbību zīmolam, par kuru uzdodas.
Ja rodas šaubas un jums gandrīz vienmēr vajadzētu šaubīties, [cilvēkiem] vienmēr ir jāizmanto uzticami ceļi… tā vietā, lai klikšķinātu uz saitēm…
"Zīmolu uzticēšanās ir milzīga. Tik liela, ka CISO arvien vairāk tiek uzdots vadīt vai palīdzēt zīmola uzticības centieniem," dalījās Kime.
Tomēr James McQuiggan, KnowBe4 drošības izpratnes aizstāvis, e-pastā Lifewire pastāstīja, ka šie mehānismi netiek izmantoti tik plaši, kā vajadzētu, un ļaunprātīgas kampaņas, piemēram, Avanan ziņotā, izmanto šādu vaļīgumu. Savā ziņojumā Avanan norādīja uz Netflix, kas izmantoja DMARC un netika viltots, savukārt Trello, kas neizmanto DMARC, norādīja.
Kad rodas šaubas
Klements piebilda, ka, lai gan Avanan pētījums liecina, ka uzbrucēji izmantoja Google SMTP pārraides pakalpojumu, līdzīgi uzbrukumi ietver sākotnējā upura e-pasta sistēmu kompromitēšanu un pēc tam to izmantošanu turpmākiem pikšķerēšanas uzbrukumiem visā viņu kontaktpersonu sarakstā.
Tāpēc viņš ieteica cilvēkiem, kuri vēlas būt pasargāti no pikšķerēšanas uzbrukumiem, izmantot vairākas aizsardzības stratēģijas.
Iesākumā ir domēna vārdu viltošanas uzbrukums, kurā kibernoziedznieki izmanto dažādus paņēmienus, lai slēptu savu e-pasta adresi ar tādas personas vārdu, kuru mērķis varētu zināt, piemēram, ģimenes loceklis vai priekšnieks no darba vietas, sagaidot, ka viņi nedosies. Makvigans dalījās ar saviem līdzekļiem, lai nodrošinātu, ka e-pasta ziņojums nāk no slēptās e-pasta adreses.
"Cilvēkiem nevajadzētu akli pieņemt vārdu "No" laukā," brīdināja Makvigans, piebilstot, ka viņiem vajadzētu vismaz aiziet aiz parādāmā vārda un pārbaudīt e-pasta adresi."Ja viņi nav pārliecināti, viņi vienmēr var sazināties ar sūtītāju, izmantojot sekundāru metodi, piemēram, īsziņu vai tālruņa zvanu, lai pārbaudītu, kurš sūtītājs ir nolēmis nosūtīt e-pastu," viņš ieteica.
Tomēr SMTP pārraides uzbrukumā, ko aprakstīja Avanans, nepietiek ar uzticēšanos e-pastam, skatoties tikai uz sūtītāja e-pasta adresi, jo šķiet, ka ziņojums nāk no likumīgas adreses.
"Par laimi, tas ir vienīgais, kas atšķir šo uzbrukumu no parastiem pikšķerēšanas e-pastiem," norādīja Klements. Krāpnieciskajā e-pastā joprojām būs pikšķerēšanas pazīmes, kas ir tas, ko cilvēkiem vajadzētu meklēt.
Piemēram, Klements teica, ka ziņojumā varētu būt ietverts neparasts pieprasījums, it īpaši, ja tas tiek nosūtīts kā steidzams jautājums. Tajā būtu arī vairākas drukas kļūdas un citas gramatikas kļūdas. Vēl viens sarkans karodziņš būtu saites e-pastā, kas nenonāk uz sūtītāja organizācijas parasto vietni.
"Ja rodas šaubas un jums gandrīz vienmēr vajadzētu šaubīties, [cilvēkiem] vienmēr ir jāizmanto uzticami ceļi, piemēram, jāiet tieši uz uzņēmuma vietni vai jāzvana uz tur norādīto atbalsta numuru, lai pārbaudītu, nevis klikšķināt uz saitēm vai sazinoties ar tālruņa numuriem vai e-pastiem, kas norādīti aizdomīgajā ziņojumā,”pateica Kriss.
