Key takeaways
- Cybersäkerhetsforskare har märkt en ökning av nätfiske-e-postmeddelanden från legitima e-postadresser.
- De hävdar att dessa falska meddelanden drar fördel av ett fel i en populär Google-tjänst och slappa säkerhetsåtgärder från de efterliknade varumärkena.
- Håll utkik efter tecken på nätfiske, även när e-postmeddelandet verkar komma från en legitim kontakt, föreslå experter.
Bara för att det e-postmeddelandet har rätt namn och en korrekt e-postadress betyder det inte att det är legitimt.
Enligt cybersäkerhetsexperter på Avanan har nätfiskeaktörer hittat ett sätt att missbruka Googles SMTP-relätjänst, som gör att de kan förfalska vilken Gmail-adress som helst, inklusive de från populära varumärken. Den nya attackstrategin ger legitimitet åt det bedrägliga e-postmeddelandet och låter det lura inte bara mottagaren utan även automatiserade e-postsäkerhetsmekanismer.
"Hotaktörer letar alltid efter nästa tillgängliga attackvektor och hittar tillförlitligt kreativa sätt att kringgå säkerhetskontroller som spamfiltrering", sa Chris Clements, VP Solutions Architecture på Cerberus Sentinel, till Lifewire via e-post. "Som forskningen säger använde denna attack Googles SMTP-relätjänst, men det har nyligen skett en ökning av angripare som utnyttjar "pålitliga" källor."
Lita inte på dina ögon
Google erbjuder en SMTP-relätjänst som används av Gmail- och Google Workspace-användare för att dirigera utgående e-post. Felet, enligt Avanan, gjorde det möjligt för nätfiskare att skicka skadliga e-postmeddelanden genom att imitera vilken e-postadress som helst för Gmail och Google Workspace. Under två veckor i april 2022 märkte Avanan nästan 30 000 sådana falska e-postmeddelanden.
I ett e-postutbyte med Lifewire delade Brian Kime, VP, Intelligence Strategy and Advisory på ZeroFox, att företag har tillgång till flera mekanismer, inklusive DMARC, Sender Policy Framework (SPF) och DomainKeys Identified Mail (DKIM), som i huvudsak hjälper mottagande e-postservrar att avvisa falska e-postmeddelanden och till och med rapportera den skadliga aktiviteten tillbaka till det efterliknade varumärket.
När du är osäker, och du bör nästan alltid vara osäker, bör [människor] alltid använda betrodda sökvägar… istället för att klicka på länkar…
"Förtroende är enormt för varumärken. Så stort att CISO:er i allt högre grad får i uppdrag att leda eller hjälpa ett varumärkes förtroendeinsatser", delade Kime.
Men James McQuiggan, förespråkare för säkerhetsmedvetenhet på KnowBe4, sa till Lifewire via e-post att dessa mekanismer inte är så utbredda som de borde vara, och skadliga kampanjer som den som rapporterats av Avanan drar fördel av sådan slapphet. I sitt inlägg pekade Avanan på Netflix, som använde DMARC och inte var förfalskat, medan Trello, som inte använder DMARC, var det.
When in Doubt
Clements tillade att även om Avanan-forskningen visar att angriparna utnyttjade Googles SMTP-relätjänst, inkluderar liknande attacker att äventyra ett första offers e-postsystem och sedan använda det för ytterligare nätfiskeattacker på hela deras kontaktlista.
Det är därför han föreslog att personer som vill förbli säkra från nätfiskeattacker bör använda flera defensiva strategier.
Till att börja med, det finns domännamnsförfalskningsattacken, där cyberbrottslingar använder olika tekniker för att dölja sin e-postadress med namnet på någon som målet kan känna, som en familjemedlem eller överordnad från arbetsplatsen, och förväntar sig att de inte ska gå ur vägen för att säkerställa att e-postmeddelandet kommer från den förklädda e-postadressen, delade McQuiggan.
"Människor bör inte blint acceptera namnet i 'Från'-fältet", varnade McQuiggan och tillade att de åtminstone borde gå bakom visningsnamnet och verifiera e-postadressen."Om de är osäkra kan de alltid nå avsändaren via en sekundär metod som sms eller telefonsamtal för att verifiera att avsändaren var menad att skicka e-postmeddelandet", föreslog han.
Men i SMTP-reläattacken som beskrivs av Avanan räcker det inte att lita på ett e-postmeddelande genom att titta på avsändarens e-postadress enbart eftersom meddelandet kommer att tyckas komma från en legitim adress.
"Lyckligtvis är det det enda som skiljer denna attack från vanliga nätfiske-e-postmeddelanden", påpekade Clements. Det bedrägliga e-postmeddelandet kommer fortfarande att ha tydliga tecken på nätfiske, vilket är vad folk bör leta efter.
Clements sa till exempel att meddelandet kan innehålla en ovanlig begäran, särskilt om det förmedlas som ett brådskande ärende. Det skulle också ha flera stavfel och andra grammatiska fel. En annan röd flagga skulle vara länkar i e-postmeddelandet som inte går till avsändarorganisationens vanliga webbplats.
"När du är osäker, och du bör nästan alltid vara osäker, bör [människor] alltid använda betrodda vägar som att gå direkt till företagets webbplats eller ringa supportnumret som anges där för att verifiera, istället för att klicka på länkar eller kontakta telefonnummer eller e-postmeddelanden som anges i det misstänkta meddelandet", rådde Chris.
