Folje kryesore
- Kërkuesit e sigurisë kibernetike kanë vënë re një rritje në emailet e phishing nga adresat e ligjshme të emailit.
- Ata pretendojnë se këto mesazhe të rreme përfitojnë nga një e metë në një shërbim të njohur të Google dhe masa të dobëta sigurie nga markat e imituara.
- Vëzhgoni për shenja treguese të phishing, edhe kur emaili duket se është nga një kontakt legjitim, sugjerojnë ekspertët.
Vetëm sepse ai email ka emrin e duhur dhe një adresë të saktë emaili nuk do të thotë se është legjitim.
Sipas informatorëve të sigurisë kibernetike në Avanan, aktorët e phishing kanë gjetur një mënyrë për të abuzuar me shërbimin e transmetimit SMTP të Google, i cili i lejon ata të mashtrojnë çdo adresë Gmail, përfshirë ato të markave të njohura. Strategjia e re e sulmit i jep legjitimitet emailit mashtrues, duke e lënë atë të mashtrojë jo vetëm marrësin, por edhe mekanizmat e automatizuar të sigurisë së emailit.
"Aktorët e kërcënimit janë gjithmonë në kërkim të vektorit tjetër të disponueshëm të sulmit dhe gjejnë me besueshmëri mënyra krijuese për të anashkaluar kontrollet e sigurisë si filtrimi i postës së padëshiruar", tha Chris Clements, VP Solutions Architecture në Cerberus Sentinel, për Lifewire përmes emailit. "Siç thuhet në hulumtim, ky sulm përdori shërbimin e transmetimit të Google SMTP, por ka pasur një rritje të kohëve të fundit në sulmuesit që përdorin burime 'të besueshme'."
Mos u beso syve
Google ofron një shërbim transmetues SMTP që përdoret nga përdoruesit e Gmail dhe Google Workspace për të drejtuar emailet dalëse. E meta, sipas Avanan, u mundësoi phishers të dërgonin emaile me qëllim të keq duke imituar çdo adresë emaili të Gmail dhe Google Workspace. Gjatë dy javëve në prill 2022, Avanan vuri re rreth 30,000 emaile të tilla false.
Në një shkëmbim emaili me Lifewire, Brian Kime, Zëvendës Pikë, Strategjia e Inteligjencës dhe Këshillimi në ZeroFox, tregoi se bizneset kanë qasje në disa mekanizma, duke përfshirë DMARC, Kornizën e Politikave të Dërguesit (SPF) dhe Mailin e Identifikuar të DomainKeys (DKIM), e cila në thelb ndihmon pranimin e serverëve të postës elektronike të refuzojnë emailet e falsifikuara dhe madje të raportojnë aktivitetin keqdashës te marka e imituar.
Kur jeni në dyshim, dhe duhet të jeni pothuajse gjithmonë në dyshim, [njerëzit] duhet të përdorin gjithmonë shtigje të besueshme… në vend që të klikojnë lidhje…
"Besimi është i madh për markat. Aq i madh saqë CISO-të po ngarkohen gjithnjë e më shumë të udhëheqin ose të ndihmojnë përpjekjet e besimit të një marke," ndau Kime.
Megjithatë, James McQuiggan, avokat i ndërgjegjësimit për sigurinë në KnowBe4, i tha Lifewire përmes emailit se këta mekanizma nuk përdoren aq gjerësisht sa duhet dhe fushatat keqdashëse si ajo e raportuar nga Avanan përfitojnë nga një dobësi e tillë. Në postimin e tyre, Avanan tregoi Netflix, i cili përdorte DMARC dhe nuk ishte i mashtruar, ndërsa Trello, i cili nuk përdor DMARC, ishte.
Kur jeni në dyshim
Clements shtoi se ndërsa hulumtimi Avanan tregon se sulmuesit kanë shfrytëzuar shërbimin e transmetimit të Google SMTP, sulme të ngjashme përfshijnë kompromentimin e sistemeve të emailit fillestar të viktimës dhe më pas përdorimin e tij për sulme të mëtejshme phishing në të gjithë listën e tyre të kontakteve.
Kjo është arsyeja pse ai sugjeroi që njerëzit që kërkojnë të qëndrojnë të sigurt nga sulmet e phishing duhet të përdorin strategji të shumta mbrojtëse.
Për fillestarët, është sulmi i mashtrimit të emrave të domenit, ku kriminelët kibernetikë përdorin teknika të ndryshme për të fshehur adresën e tyre të emailit me emrin e dikujt që objektivi mund të njohë, si p.sh. një anëtari të familjes ose epror nga vendi i punës, duke pritur që ata të mos shkojnë nuk kanë mundësi të sigurohen që emaili vjen nga adresa e maskuar e emailit, tha McQuiggan.
"Njerëzit nuk duhet ta pranojnë verbërisht emrin në fushën 'Nga'," paralajmëroi McQuiggan, duke shtuar se ata duhet të paktën të shkojnë pas emrit të shfaqur dhe të verifikojnë adresën e emailit."Nëse ata nuk janë të sigurt, ata mund të kontaktojnë gjithmonë me dërguesin nëpërmjet një metode dytësore si teksti ose telefonata për të verifikuar dërguesin që synon të dërgojë emailin," sugjeroi ai.
Megjithatë, në sulmin transmetues SMTP të përshkruar nga Avanan, besimi i një emaili duke parë vetëm adresën e emailit të dërguesit nuk mjafton pasi mesazhi do të duket se vjen nga një adresë e ligjshme.
"Fatmirësisht, kjo është e vetmja gjë që e dallon këtë sulm nga emailet normale të phishing," vuri në dukje Clements. Email-i mashtrues do të ketë ende shenja treguese të phishing, gjë që duhet të kërkojnë njerëzit.
Për shembull, Clements tha se mesazhi mund të përmbajë një kërkesë të pazakontë, veçanërisht nëse ajo përcillet si një çështje urgjente. Do të kishte gjithashtu disa gabime shtypi dhe gabime të tjera gramatikore. Një tjetër flamur i kuq do të ishin lidhjet në email që nuk shkojnë në faqen e zakonshme të internetit të organizatës dërguese.
"Kur jeni në dyshim dhe pothuajse gjithmonë duhet të jeni në dyshim, [njerëzit] duhet të përdorin gjithmonë shtigje të besuara, si p.sh. të shkojnë drejtpërdrejt në faqen e internetit të kompanisë ose të telefonojnë numrin e mbështetjes të listuar atje për të verifikuar, në vend që të klikojnë lidhjet ose duke kontaktuar numrat e telefonit ose emailet e listuara në mesazhin e dyshimtë, "këshilloi Chris.