მთავარი წაღებები
- კიბერუსაფრთხოების მკვლევარებმა შენიშნეს ფიშინგის ელ. ფოსტის ლეგიტიმური მისამართებიდან.
- ისინი ამტკიცებენ, რომ ეს ყალბი შეტყობინებები სარგებლობს Google-ის პოპულარულ სერვისში არსებული ხარვეზებით და ამცირებენ უსაფრთხოების ზომებს იმ ბრენდების მიერ.
- დააკვირდით ფიშინგის დამახასიათებელ ნიშნებს, მაშინაც კი, როცა ელფოსტა ლეგიტიმური კონტაქტისგან ჩანს, გთავაზობთ ექსპერტებს.
მხოლოდ იმიტომ, რომ ამ ელფოსტას აქვს სწორი სახელი და სწორი ელფოსტის მისამართი, არ ნიშნავს რომ ის ლეგიტიმურია.
Avanan-ის კიბერუსაფრთხოების მცოდნეების თანახმად, ფიშინგმა მსახიობებმა იპოვეს Google-ის SMTP სარელეო სერვისის ბოროტად გამოყენების საშუალება, რომელიც საშუალებას აძლევს მათ გააფუჭონ ნებისმიერი Gmail მისამართი, მათ შორის პოპულარული ბრენდების მისამართი. თავდასხმის ახალი სტრატეგია ლეგიტიმურობას ანიჭებს თაღლითურ ელფოსტას, რაც საშუალებას აძლევს მას მოატყუოს არა მხოლოდ მიმღები, არამედ ელექტრონული ფოსტის უსაფრთხოების ავტომატიზირებული მექანიზმებიც.
"საფრთხის მოქმედი პირები ყოველთვის ეძებენ შემდეგ ხელმისაწვდომ თავდასხმის ვექტორს და საიმედოდ პოულობენ კრეატიულ გზებს უსაფრთხოების კონტროლის გვერდის ავლით, როგორიცაა სპამის ფილტრაცია", განუცხადა კრის კლემენტსმა, Cerberus Sentinel-ის VP Solutions Architecture-ს, Lifewire-ს ელექტრონული ფოსტით. "როგორც კვლევაში ნათქვამია, ამ შეტევამ გამოიყენა Google SMTP სარელეო სერვისი, მაგრამ ბოლო დროს შეინიშნება თავდამსხმელების ზრდა, რომლებიც იყენებენ "სანდო" წყაროებს."
არ ენდო შენს თვალებს
Google გთავაზობთ SMTP სარელეო სერვისს, რომელსაც იყენებენ Gmail და Google Workspace მომხმარებლები გამავალი ელფოსტის მარშრუტისთვის. ავანანის თქმით, ხარვეზმა ფიშერებს საშუალება მისცა, გაეგზავნათ მავნე ელფოსტა ნებისმიერი Gmail-ისა და Google Workspace-ის ელ. ფოსტის მისამართის იმიტაციით.2022 წლის აპრილში ორი კვირის განმავლობაში ავანანმა შენიშნა დაახლოებით 30 000 ასეთი ყალბი ელ.წერილი.
Lifewire-თან ელფოსტის გაცვლისას, ბრაიან კიმმა, VP, Intelligence Strategy და Advisory ZeroFox-ში, გააზიარა, რომ ბიზნესებს აქვთ წვდომა რამდენიმე მექანიზმზე, მათ შორის DMARC, გამგზავნის პოლიტიკის ჩარჩო (SPF) და DomainKeys Identified Mail (DKIM), რაც არსებითად ეხმარება ელ.ფოსტის სერვერების მიღებას, უარყონ გაყალბებული ელფოსტა და აცნობონ მავნე აქტივობას იმ ბრენდის სახელზე.
როდესაც ეჭვი გეპარებათ და თითქმის ყოველთვის ეჭვი გეპარებათ, [ადამიანებმა] ყოველთვის უნდა გამოიყენონ სანდო გზები… ბმულებზე დაწკაპუნების ნაცვლად…
"ნდობა დიდია ბრენდებისთვის. იმდენად დიდი, რომ CISO-ებს სულ უფრო მეტად ევალებათ წარმართონ ან დაეხმარონ ბრენდის ნდობის მცდელობებს", გააზიარა Kime.
თუმცა, ჯეიმს მაკკუიგანმა, უსაფრთხოების ინფორმირებულობის ადვოკატმა KnowBe4-ში, განუცხადა Lifewire-ს ელექტრონული ფოსტით, რომ ეს მექანიზმები არ არის ისეთი ფართოდ გამოყენებული, როგორც უნდა იყოს და მავნე კამპანიები, როგორიც არის ავანანის მიერ მოხსენებული, სარგებლობს ასეთი სიმსუბუქით.თავის პოსტში ავანანმა მიუთითა Netflix-ზე, რომელიც იყენებდა DMARC-ს და არ იყო გაყალბებული, ხოლო Trello, რომელიც არ იყენებს DMARC-ს.
როცა ეჭვი გაქვთ
კლემენტსმა დაამატა, რომ სანამ ავანანის კვლევა აჩვენებს, რომ თავდამსხმელებმა გამოიყენეს Google SMTP სარელეო სერვისი, მსგავსი თავდასხმები მოიცავს თავდაპირველი მსხვერპლის ელ.ფოსტის სისტემების კომპრომეტირებას და შემდეგ მის გამოყენებას შემდგომი ფიშინგის შეტევებისთვის მათ მთელ კონტაქტების სიაზე.
სწორედ ამიტომ მან შესთავაზა იმ ადამიანებს, რომლებიც ცდილობენ დაიცვან ფიშინგის შეტევები, გამოიყენონ მრავალი თავდაცვითი სტრატეგია.
დასაწყისად, არის დომენის სახელის გაყალბების შეტევა, სადაც კიბერკრიმინალები იყენებენ სხვადასხვა ტექნიკას, რათა დამალონ თავიანთი ელ. ფოსტის მისამართი იმ ადამიანის სახელით, ვინც შესაძლოა იცნობდეს, მაგალითად, ოჯახის წევრის ან სამუშაო ადგილიდან უფროსის მოლოდინით, რომ ისინი არ წავლენ. მათ არ შეუძლიათ უზრუნველყონ, რომ ელფოსტა მოდის შენიღბული ელფოსტის მისამართიდან, გააზიარა McQuiggan.
"ადამიანებმა ბრმად არ უნდა მიიღონ სახელი "From" ველში," გააფრთხილა მაკკუიგანი და დასძინა, რომ მათ მაინც უნდა გადასულიყვნენ საჩვენებელი სახელის უკან და დაადასტურონ ელფოსტის მისამართი.„თუ ისინი არ არიან დარწმუნებულები, მათ ყოველთვის შეუძლიათ დაუკავშირდნენ გამგზავნს მეორადი მეთოდით, როგორიცაა ტექსტი ან სატელეფონო ზარი, რათა დაადასტურონ გამომგზავნი, რომელიც აპირებს ელფოსტის გაგზავნას“, - შესთავაზა მან.
თუმცა, ავანანის მიერ აღწერილი SMTP სარელეო თავდასხმაში, ელფოსტის ნდობა მხოლოდ გამგზავნის ელფოსტის მისამართის დათვალიერებით საკმარისი არ არის, რადგან შეტყობინება გამოჩნდება ლეგიტიმური მისამართიდან.
"საბედნიეროდ, ეს არის ერთადერთი რამ, რაც განასხვავებს ამ შეტევას ჩვეულებრივი ფიშინგის ელფოსტისგან", - აღნიშნა კლემენტსმა. თაღლითურ ელფოსტას კვლავ ექნება ფიშინგის დამახასიათებელი ნიშნები, რაც ადამიანებმა უნდა მოძებნონ.
მაგალითად, კლემენტსმა თქვა, რომ შეტყობინება შეიძლება შეიცავდეს უჩვეულო მოთხოვნას, განსაკუთრებით მაშინ, თუ ის გადაუდებელი საკითხია. მას ასევე ექნება რამდენიმე შეცდომა და სხვა გრამატიკული შეცდომები. კიდევ ერთი წითელი დროშა იქნება ბმულები ელფოსტაში, რომლებიც არ მიდიან გამგზავნი ორგანიზაციის ჩვეულებრივ ვებსაიტზე.
"როდესაც ეჭვი გეპარებათ და თითქმის ყოველთვის უნდა გქონდეთ ეჭვი, [ადამიანებმა] ყოველთვის უნდა გამოიყენონ სანდო გზები, როგორიცაა პირდაპირ კომპანიის ვებსაიტზე გადასვლა ან იქ ჩამოთვლილ მხარდაჭერის ნომერზე დარეკვა, ბმულებზე დაწკაპუნების ნაცვლად ან დაუკავშირდით საეჭვო შეტყობინებაში ჩამოთვლილ ტელეფონის ნომრებს ან ელ.წერილს,”- ურჩია კრისმა.