מזונות חשובים
- חוקרי אבטחת סייבר שמו לב לעלייה בהודעות דיוג מכתובות אימייל לגיטימיות.
- הם טוענים שההודעות המזויפות האלה מנצלות את היתרונות של פגם בשירות Google פופולרי ואמצעי אבטחה רופפים של המותגים המתחזות.
- עקבו אחר סימנים מובהקים של פישינג, גם כשנראה שהמייל מגיע מאיש קשר לגיטימי, הציעו מומחים.
רק בגלל שהדוא ל הזה מכיל את השם הנכון וכתובת האימייל הנכונה לא אומר שהוא לגיטימי.
לפי חוקרי אבטחת סייבר ב-Avanan, שחקני דיוג מצאו דרך לעשות שימוש לרעה בשירות הממסר SMTP של גוגל, המאפשר להם לזייף כל כתובת Gmail, כולל של מותגים פופולריים. אסטרטגיית ההתקפה החדשה מעניקה לגיטימציה לדוא"ל המרמה, ומאפשרת לו לרמות לא רק את הנמען אלא גם מנגנוני אבטחת דוא"ל אוטומטיים.
"שחקני איומים תמיד מחפשים את וקטור ההתקפה הזמין הבא ומוצאים באופן מהימן דרכים יצירתיות לעקוף בקרות אבטחה כמו סינון דואר זבל", אמר כריס קלמנטס, סמנכ"ל פתרונות ארכיטקטורה ב-Cerberus Sentinel, ל-Lifewire באימייל. "כפי שהמחקר קובע, מתקפה זו השתמשה בשירות הממסר SMTP של Google, אך לאחרונה חלה עלייה בתוקפים הממנפים מקורות 'מהימנים'."
אל תסמוך על העיניים שלך
Google מציעה שירות ממסר SMTP המשמש את משתמשי Gmail ו-Google Workspace לניתוב אימיילים יוצאים. הפגם, לפי Avanan, אפשר לדיוגים לשלוח מיילים זדוניים על ידי התחזות לכל כתובת אימייל של Gmail ו-Google Workspace.במהלך שבועיים באפריל 2022, אוואן הבחין בכמעט 30,000 אימיילים מזויפים כאלה.
בהחלפת דוא"ל עם Lifewire, בריאן Kime, סמנכ"ל, אסטרטגיית מודיעין וייעוץ ב-ZeroFox, שיתף כי לעסקים יש גישה למספר מנגנונים, כולל DMARC, Sender Policy Framework (SPF) ו-DomainKeys Identified Mail (DKIM), שבעצם עוזרים לשרתי אימייל שמקבלים לדחות אימיילים מזויפים ואפילו לדווח על הפעילות הזדונית בחזרה למותג המתחזה.
כאשר יש ספק, וכמעט תמיד אתה צריך להיות בספק, [אנשים] צריכים תמיד להשתמש בנתיבים מהימנים… במקום ללחוץ על קישורים…
"האמון הוא עצום עבור מותגים. כל כך עצום ש-CISO מוטל יותר ויותר להוביל או לעזור למאמצי האמון של מותג", שיתפה Kime.
עם זאת, ג'יימס מקוויגן, תומך למודעות אבטחה ב-KnowBe4, אמר ל-Lifewire בדוא ל שהמנגנונים האלה אינם בשימוש נרחב כפי שהם צריכים להיות, וקמפיינים זדוניים כמו זה שדווח על ידי Avanan מנצלים את הרפיון הזה.בפוסט שלהם, Avanan הצביע על נטפליקס, שהשתמשה ב-DMARC ולא זויפה, בעוד ש-Trello, שאינה משתמשת ב-DMARC, הייתה.
כאשר יש ספק
Clements הוסיף כי בעוד שהמחקר של Avanan מראה שהתוקפים ניצלו את שירות הממסר SMTP של Google, התקפות דומות כוללות פגיעה במערכות הדוא ל הראשוניות של הקורבן ולאחר מכן שימוש בה להתקפות פישינג נוספות ברשימת אנשי הקשר כולה.
לכן הוא הציע לאנשים המחפשים לשמור על בטיחות מפני התקפות דיוג להשתמש במספר אסטרטגיות הגנה.
להתחלה, יש את מתקפת הזיוף של שמות הדומיין, שבה פושעי סייבר משתמשים בטכניקות שונות כדי להסתיר את כתובת האימייל שלהם עם שם של מישהו שהיעד עשוי להכיר, כמו בן משפחה או ממונה ממקום העבודה, ומצפים מהם לא ללכת יצאו מדרכם להבטיח שהדוא"ל מגיע מכתובת הדוא"ל המוסווה, משותפת McQuiggan.
"אנשים לא צריכים לקבל באופן עיוור את השם בשדה 'מאת'", הזהיר מקוויגן, והוסיף שהם צריכים לפחות ללכת מאחורי שם התצוגה ולאמת את כתובת האימייל."אם הם לא בטוחים, הם תמיד יכולים לפנות אל השולח בשיטה משנית כמו טקסט או שיחת טלפון כדי לאמת שהשולח התכוון לשלוח את האימייל", הוא הציע.
עם זאת, בהתקפת ממסר ה-SMTP שתוארה על ידי Avanan אין די בהסתכלות על כתובת הדוא"ל של השולח לבדה בכתובת הדוא"ל של השולח, שכן נראה שההודעה מגיעה מכתובת לגיטימית.
"למרבה המזל, זה הדבר היחיד שמבדיל את ההתקפה הזו מהודעות דיוג רגילות", הצביע קלמנטס. לדוא"ל המרמה עדיין יהיו סימני דיוג, וזה מה שאנשים צריכים לחפש.
לדוגמה, קלמנטס אמר שההודעה עשויה להכיל בקשה חריגה, במיוחד אם היא מועברת כעניין דחוף. יהיו לו גם מספר שגיאות הקלדה וטעויות דקדוקיות אחרות. דגל אדום נוסף יהיה קישורים באימייל שאינם מגיעים לאתר האינטרנט הרגיל של ארגון השולח.
"כאשר יש לך ספק, וכמעט תמיד אתה צריך להיות בספק, [אנשים] צריכים תמיד להשתמש בנתיבים מהימנים כגון כניסה ישירות לאתר החברה או התקשרות למספר התמיכה הרשום שם כדי לאמת, במקום ללחוץ על קישורים או יצירת קשר עם מספרי טלפון או מיילים הרשומים בהודעה החשודה", יעץ כריס.
