Da asporto chiave
- I ricercatori sulla sicurezza informatica hanno notato un aumento delle e-mail di phishing provenienti da indirizzi e-mail legittimi.
- Affermano che questi messaggi falsi si avvantaggiano di un difetto in un popolare servizio Google e delle misure di sicurezza permissive dei marchi impersonati.
- Tieni d'occhio i segni rivelatori di phishing, anche quando l'e-mail sembra provenire da un contatto legittimo, suggerisci gli esperti.
Solo perché quell'e-mail ha il nome giusto e un indirizzo e-mail corretto non significa che sia legittima.
Secondo gli investigatori della sicurezza informatica di Avanan, gli attori di phishing hanno trovato un modo per abusare del servizio di inoltro SMTP di Google, che consente loro di falsificare qualsiasi indirizzo Gmail, compresi quelli di marchi famosi. La nuova strategia di attacco conferisce legittimità all'e-mail fraudolenta, permettendogli di ingannare non solo il destinatario ma anche i meccanismi di sicurezza delle e-mail automatizzati.
"Gli attori delle minacce sono sempre alla ricerca del prossimo vettore di attacco disponibile e trovano in modo affidabile modi creativi per aggirare i controlli di sicurezza come il filtro antispam", ha detto a Lifewire Chris Clements, VP Solutions Architecture di Cerberus Sentinel. "Come afferma la ricerca, questo attacco ha utilizzato il servizio di inoltro SMTP di Google, ma c'è stato un recente aumento degli aggressori che sfruttano fonti" attendibili "."
Non fidarti dei tuoi occhi
Google offre un servizio di inoltro SMTP utilizzato dagli utenti di Gmail e Google Workspace per instradare le email in uscita. Il difetto, secondo Avanan, ha consentito ai phisher di inviare e-mail dannose impersonando qualsiasi indirizzo e-mail di Gmail e Google Workspace. Durante due settimane nell'aprile 2022, Avanan ha notato quasi 30.000 email false di questo tipo.
In uno scambio di e-mail con Lifewire, Brian Kime, VP, Intelligence Strategy and Advisory presso ZeroFox, ha condiviso che le aziende hanno accesso a diversi meccanismi, tra cui DMARC, Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM), che essenzialmente aiutano a ricevere i server di posta elettronica a rifiutare le e-mail contraffatte e persino a segnalare l'attività dannosa al marchio impersonato.
In caso di dubbio, e dovresti essere quasi sempre in dubbio, [le persone] dovrebbero sempre utilizzare percorsi affidabili… invece di fare clic sui link…
"La fiducia è enorme per i marchi. Così grande che i CISO hanno sempre più il compito di guidare o aiutare gli sforzi di fiducia di un marchio", ha condiviso Kime.
Tuttavia, James McQuiggan, sostenitore della consapevolezza della sicurezza presso KnowBe4, ha detto a Lifewire via e-mail che questi meccanismi non sono ampiamente utilizzati come dovrebbero e le campagne dannose come quella segnalata da Avanan sfruttano tale lassismo. Nel loro post, Avanan ha indicato Netflix, che utilizzava DMARC e non è stato falsificato, mentre Trello, che non utilizza DMARC, era.
In caso di dubbio
Clements ha aggiunto che mentre la ricerca Avanan mostra che gli aggressori hanno sfruttato il servizio di inoltro SMTP di Google, attacchi simili includono la compromissione dei sistemi di posta elettronica di una vittima iniziale e il loro utilizzo per ulteriori attacchi di phishing sull'intero elenco di contatti.
Questo è il motivo per cui ha suggerito che le persone che cercano di rimanere al sicuro dagli attacchi di phishing dovrebbero utilizzare strategie difensive multiple.
Per cominciare, c'è l'attacco di spoofing del nome di dominio, in cui i criminali informatici utilizzano varie tecniche per nascondere il proprio indirizzo e-mail con il nome di qualcuno che il bersaglio potrebbe conoscere, come un familiare o un superiore dal posto di lavoro, aspettandosi che non se ne vadano per assicurarsi che l'e-mail provenga dall'indirizzo e-mail mascherato, ha condiviso McQuiggan.
"Le persone non dovrebbero accettare ciecamente il nome nel campo 'Da'", ha avvertito McQuiggan, aggiungendo che dovrebbero almeno andare dietro il nome visualizzato e verificare l'indirizzo e-mail."Se non sono sicuri, possono sempre contattare il mittente tramite un metodo secondario come un SMS o una telefonata per verificare che il mittente intendesse inviare l'e-mail", ha suggerito.
Tuttavia, nell'attacco di inoltro SMTP descritto da Avanan, fidarsi di un'e-mail guardando solo l'indirizzo e-mail del mittente non è sufficiente poiché il messaggio sembrerà provenire da un indirizzo legittimo.
"Fortunatamente, questa è l'unica cosa che differenzia questo attacco dalle normali e-mail di phishing", ha sottolineato Clements. L'e-mail fraudolenta conterrà ancora i segni rivelatori di phishing, che è ciò che le persone dovrebbero cercare.
Per esempio, Clements ha detto che il messaggio potrebbe contenere una richiesta insolita, soprattutto se viene trasmessa come una questione urgente. Avrebbe anche diversi errori di battitura e altri errori grammaticali. Un' altra bandiera rossa sarebbero i collegamenti nell'e-mail che non portano al solito sito Web dell'organizzazione mittente.
"In caso di dubbio, e dovresti essere quasi sempre in dubbio, [le persone] dovrebbero sempre utilizzare percorsi attendibili come andare direttamente al sito Web dell'azienda o chiamare il numero di supporto elencato per verificare, invece di fare clic sui collegamenti o contattando i numeri di telefono o le e-mail elencate nel messaggio sospetto", ha consigliato Chris.
