Võtmed kaasavõtmiseks
- Küberturvalisuse uurijad on märganud seaduslikelt e-posti aadressidelt pärit andmepüügimeilide arvu kasvu.
- Nad väidavad, et need võltssõnumid kasutavad ära populaarse Google'i teenuse viga ja kehastavate kaubamärkide leebeid turvameetmeid.
- Jälgige andmepüügist märku andvaid märke, isegi kui e-kiri näib olevat pärit seaduslikult kontaktilt, soovitage eksperte.
See, et sellel meilil on õige nimi ja õige e-posti aadress, ei tähenda, et see on seaduslik.
Avanani küberjulgeolekuotsijate sõnul on andmepüügiga tegelejad leidnud võimaluse kuritarvitada Google'i SMTP-edastusteenust, mis võimaldab neil võltsida mis tahes Gmaili aadresse, sealhulgas populaarsete kaubamärkide aadresse. Uudne ründestrateegia annab petturlikule meilile legitiimsuse, lastes sellel petta mitte ainult adressaati, vaid ka automatiseeritud meiliturvamehhanisme.
"Ohunäitlejad otsivad alati järgmist saadaolevat ründevektorit ja leiavad usaldusväärselt loovaid viise, kuidas turvakontrollidest, nagu rämpsposti filtreerimine, mööda minna, " ütles Cerberus Sentineli lahenduste arhitektuuri asepresident Chris Clements Lifewire'ile meili teel. "Nagu uuringud väidavad, kasutas see rünnak Google'i SMTP-edastusteenust, kuid hiljuti on suurenenud ründajate arv, kes kasutavad "usaldusväärseid" allikaid."
Ära usalda oma silmi
Google pakub SMTP-edastusteenust, mida Gmaili ja Google Workspace'i kasutajad kasutavad väljaminevate meilide suunamiseks. Avanani sõnul võimaldas viga andmepüügiga tegelejatel saata pahatahtlikke e-kirju, esinedes mis tahes Gmaili ja Google Workspace'i e-posti aadressina.2022. aasta aprilli kahe nädala jooksul märkas Avanan ligi 30 000 sellist võltskirja.
Lifewire'iga peetud meilivahetuses jagas ZeroFoxi luurestrateegia ja nõustamisosakonna asepresident Brian Kime, et ettevõtetel on juurdepääs mitmele mehhanismile, sealhulgas DMARC-ile, saatjapoliitika raamistikule (SPF) ja DomainKeys Identified Mail-ile (DKIM), mis sisuliselt aitavad vastuvõtvatel meiliserveritel võltsitud e-kirjad tagasi lükata ja teatavad isegi pahatahtlikust tegevusest tagasi esinenud kaubamärgile.
Kui kahtlete ja peaksite peaaegu alati kahtlema, peaksid [inimesed] alati kasutama usaldusväärseid teid… selle asemel, et klõpsata linke…
"Usaldus on kaubamärkide jaoks tohutu. Nii suur, et CISO-de ülesandeks on üha enam juhtida või aidata brändi usalduslikke jõupingutusi," jagas Kime.
Kuid James McQuiggan, KnowBe4 turvateadlikkuse advokaat, ütles Lifewire'ile e-posti teel, et neid mehhanisme ei kasutata nii laialdaselt, kui peaks, ja pahatahtlikud kampaaniad, nagu Avanani teatatud, kasutavad sellist lõtvust ära. Oma postituses osutas Avanan Netflixile, mis kasutas DMARC-i ja mida ei võltsinud, samas kui Trello, mis DMARC-i ei kasuta, osutas sellele.
Kahtluse korral
Clements lisas, et kuigi Avanani uuringud näitavad, et ründajad kasutasid ära Google'i SMTP-edastusteenust, hõlmavad sarnased rünnakud esialgse ohvri meilisüsteemide kahjustamist ja selle kasutamist edasisteks andmepüügirünnakuteks kogu nende kontaktide loendis.
Seetõttu soovitas ta inimestel, kes soovivad end andmepüügirünnakute eest kaitsta, kasutada mitut kaitsestrateegiat.
Alustuseks on domeeninimede võltsimise rünnak, kus küberkurjategijad kasutavad erinevaid tehnikaid, et varjata oma e-posti aadressi kellegi nimega, keda sihtmärk võib tunda, näiteks pereliige või ülemus töökoh alt, eeldades, et nad ei lähe McQuiggan jagas, et meil pole võimalik tagada, et meil tuleb varjatud meiliaadressilt.
"Inimesed ei tohiks pimesi aktsepteerida nime väljal "Saatja", " hoiatas McQuiggan, lisades, et nad peaksid vähem alt kuvatava nime taha jääma ja e-posti aadressi kinnitama."Kui nad pole kindlad, saavad nad alati saata saatjaga ühendust mõne teise meetodi (nt tekstisõnumi või telefonikõne) abil, et kontrollida, kas saatja kavatseb meili saata," soovitas ta.
Avanani kirjeldatud SMTP-edastusrünnaku puhul ei piisa aga meili usaldamisest ainult saatja e-posti aadressi vaatamisest, sest sõnum näib tulevat seaduslikult aadressilt.
"Õnneks on see ainus asi, mis eristab seda rünnakut tavalistest andmepüügimeilidest," märkis Clements. Petturlikel meilidel on endiselt andmepüügist märku andvad märgid, mida inimesed peaksid otsima.
Näiteks ütles Clements, et sõnum võib sisaldada ebatavalist taotlust, eriti kui see edastatakse kiireloomulise asjana. Sellel oleks ka mitmeid kirjavigu ja muid grammatilisi vigu. Teine punane lipp on meilis olevad lingid, mis ei suuna saatva organisatsiooni tavapärasele veebisaidile.
"Kui kahtlete ja peaksite peaaegu alati kahtlema, peaksid [inimesed] alati kasutama usaldusväärseid teid, näiteks minema otse ettevõtte veebisaidile või helistama kontrollimiseks seal loetletud tuginumbril, selle asemel, et klõpsata linkidel või võtta ühendust kahtlases sõnumis loetletud telefoninumbrite või e-posti aadressidega,“andis Chris nõu.
