موارد مهم
- محققان امنیت سایبری متوجه افزایش ایمیلهای فیشینگ از آدرسهای ایمیل قانونی شدهاند.
- آنها ادعا می کنند که این پیام های جعلی از نقص یک سرویس محبوب Google استفاده می کنند و اقدامات امنیتی را توسط مارک های جعل هویت سهل می کنند.
- مراقب نشانه های آشکار فیشینگ باشید، حتی زمانی که به نظر می رسد ایمیل از طرف یک مخاطب قانونی است، کارشناسان پیشنهاد می کنند.
فقط به این دلیل که آن ایمیل نام درست و آدرس ایمیل صحیح دارد، به این معنی نیست که مشروع است.
طبق گفته کارآگاهان امنیت سایبری در Avanan، بازیگران فیشینگ راهی برای سوء استفاده از سرویس رله SMTP Google پیدا کرده اند که به آنها اجازه می دهد هر آدرس جیمیل، از جمله آدرس های مارک های محبوب را جعل کنند. استراتژی حمله جدید به ایمیل های تقلبی مشروعیت می بخشد و نه تنها گیرنده بلکه مکانیسم های امنیتی ایمیل خودکار را نیز فریب می دهد.
کریس کلمنتز، معاون معماری Solutions در Cerberus Sentinel، از طریق ایمیل به Lifewire گفت: "بازیگران تهدید همیشه به دنبال بردار حمله بعدی هستند و به طور قابل اعتماد راه های خلاقانه ای برای دور زدن کنترل های امنیتی مانند فیلتر کردن هرزنامه ها پیدا می کنند." همانطور که تحقیقات بیان میکند، این حمله از سرویس رله Google SMTP استفاده میکند، اما اخیراً حملهکنندگانی که از منابع «معتمد» استفاده میکنند، افزایش یافته است.»
به چشمان خود اعتماد نکنید
Google یک سرویس رله SMTP ارائه می دهد که توسط کاربران Gmail و Google Workspace برای مسیریابی ایمیل های خروجی استفاده می شود. به گفته آوانان، این نقص، فیشرها را قادر میسازد تا با جعل هویت هر آدرس ایمیل Gmail و Google Workspace، ایمیلهای مخرب ارسال کنند.طی دو هفته در آوریل 2022، آوانان متوجه نزدیک به 30000 ایمیل جعلی از این دست شد.
در یک تبادل ایمیل با Lifewire، برایان کیم، معاون، استراتژی اطلاعاتی و مشاوره در ZeroFox، به اشتراک گذاشت که مشاغل به مکانیسمهای مختلفی از جمله DMARC، چارچوب خطمشی فرستنده (SPF) و ایمیلهای شناسایی شده با کلیدهای دامنه (DKIM) دسترسی دارند. ، که اساساً به سرورهای دریافت ایمیل کمک می کند تا ایمیل های جعلی را رد کنند و حتی فعالیت مخرب را به برند جعل شده گزارش دهند.
وقتی شک دارید، و تقریباً همیشه باید شک داشته باشید، [مردم] همیشه باید از مسیرهای قابل اعتماد استفاده کنند… به جای کلیک کردن روی پیوندها…
"اعتماد برای برندها بسیار بزرگ است. به قدری عظیم که CISOها به طور فزاینده ای وظیفه رهبری یا کمک به تلاش های اعتماد یک برند را بر عهده دارند." Kime به اشتراک گذاشت.
با این حال، جیمز مککویگان، مدافع آگاهی امنیتی در KnowBe4، از طریق ایمیل به Lifewire گفت که این مکانیسمها آنطور که باید به طور گسترده مورد استفاده قرار نمیگیرند، و کمپینهای مخربی مانند آنچه که Avanan گزارش کرده از چنین سهل انگاری بهره میبرند.آوانان در پست خود به نتفلیکس اشاره کرد که از DMARC استفاده میکرد و جعل نشده بود، در حالی که Trello که از DMARC استفاده نمیکرد.
وقتی در شک هستید
Clements اضافه کرد که در حالی که تحقیقات Avanan نشان می دهد که مهاجمان از سرویس رله Google SMTP سوء استفاده کرده اند، حملات مشابه شامل به خطر انداختن سیستم های ایمیل اولیه قربانی و سپس استفاده از آن برای حملات فیشینگ بیشتر در کل لیست مخاطبین آنها است.
به همین دلیل است که او به افرادی که به دنبال در امان ماندن در برابر حملات فیشینگ هستند پیشنهاد کرد باید از چندین استراتژی دفاعی استفاده کنند.
برای شروع، حمله جعل نام دامنه وجود دارد، که در آن مجرمان سایبری از تکنیکهای مختلفی برای مخفی کردن آدرس ایمیل خود با نام شخصی که هدف ممکن است بشناسد، مانند یکی از اعضای خانواده یا مافوق در محل کار، استفاده میکنند و انتظار دارند که آنها نروند. McQuiggan به اشتراک گذاشته شده است تا اطمینان حاصل کنند که ایمیل از آدرس ایمیل مبدل می آید.
"افراد نباید کورکورانه نام را در قسمت "از" بپذیرند، " مک کویگان هشدار داد، و افزود که حداقل باید پشت نام نمایش داده شده و آدرس ایمیل را تأیید کنند.او پیشنهاد کرد: "اگر آنها مطمئن نیستند، همیشه می توانند از طریق یک روش ثانویه مانند پیام کوتاه یا تماس تلفنی با فرستنده ارتباط برقرار کنند تا تأیید کنند که فرستنده قصد ارسال ایمیل را دارد."
با این حال، در حمله رله SMTP که آوانان توضیح داده است، اعتماد به ایمیل با نگاه کردن به آدرس ایمیل فرستنده به تنهایی کافی نیست زیرا به نظر می رسد پیام از یک آدرس قانونی آمده است.
"خوشبختانه، این تنها چیزی است که این حمله را از ایمیل های فیشینگ معمولی متمایز می کند." ایمیل های جعلی همچنان دارای نشانه های فیشینگ هستند، چیزی که مردم باید به دنبال آن باشند.
برای مثال، کلمنتز گفت که این پیام ممکن است حاوی یک درخواست غیرعادی باشد، به خصوص اگر به عنوان یک موضوع فوری منتقل شود. همچنین دارای چندین اشتباه تایپی و سایر اشتباهات گرامری است. پرچم قرمز دیگر پیوندهایی در ایمیل است که به وب سایت معمول سازمان فرستنده نمی رود.
"وقتی شک دارید، و تقریباً همیشه باید شک داشته باشید، [افراد] باید همیشه از مسیرهای قابل اعتمادی مانند رفتن مستقیم به وب سایت شرکت یا تماس با شماره پشتیبانی فهرست شده در آنجا برای تأیید استفاده کنند، به جای کلیک کردن روی پیوندها یا کریس توصیه کرد که با شماره تلفن یا ایمیل های ذکر شده در پیام مشکوک تماس بگیرید.
