Clau per emportar
- Els investigadors de ciberseguretat han notat un augment dels correus electrònics de pesca des d'adreces de correu electrònic legítimes.
- Afirmen que aquests missatges falsos s'aprofiten d'una falla en un popular servei de Google i de les mesures de seguretat laxes de les marques suplantades.
- Vigileu els signes reveladors de pesca, fins i tot quan el correu electrònic sembla ser d'un contacte legítim, suggeriu experts.
Només perquè aquest correu electrònic tingui el nom correcte i una adreça electrònica correcta no vol dir que sigui legítim.
Segons els detectius de ciberseguretat d'Avanan, els actors de la pesca han trobat una manera d'abusar del servei de retransmissió SMTP de Google, que els permet falsificar qualsevol adreça de Gmail, incloses les de marques populars. La nova estratègia d'atac dóna legitimitat al correu electrònic fraudulent, deixant-lo enganyar no només el destinatari, sinó també els mecanismes de seguretat automatitzats del correu electrònic.
"Els actors de l'amenaça sempre busquen el següent vector d'atac disponible i troben maneres creatives d'evitar controls de seguretat com el filtratge de correu brossa", va dir Chris Clements, vicepresident d'Arquitectura de Solucions de Cerberus Sentinel, a Lifewire per correu electrònic. "Tal com indica la investigació, aquest atac va utilitzar el servei de retransmissió SMTP de Google, però recentment hi ha hagut un augment dels atacants que utilitzen fonts "de confiança".
No confieu en els vostres ulls
Google ofereix un servei de retransmissió SMTP que fan servir els usuaris de Gmail i Google Workspace per encaminar els correus electrònics de sortida. El defecte, segons Avanan, va permetre als phishers enviar correus electrònics maliciosos suplantant qualsevol adreça electrònica de Gmail i de Google Workspace. Durant dues setmanes a l'abril de 2022, Avanan va detectar gairebé 30.000 correus electrònics falsos.
En un intercanvi de correu electrònic amb Lifewire, Brian Kime, vicepresident d'Intelligence Strategy and Advisory de ZeroFox, va compartir que les empreses tenen accés a diversos mecanismes, com ara DMARC, Sender Policy Framework (SPF) i DomainKeys Identified Mail (DKIM), que bàsicament ajuden els servidors de correu electrònic de recepció a rebutjar correus electrònics falsificats i fins i tot a informar de l'activitat maliciosa a la marca suplantada.
En cas de dubte, i gairebé sempre hauríeu de tenir-ho en dubte, [la gent] sempre hauria d'utilitzar camins de confiança… en comptes de fer clic als enllaços…
"La confiança és enorme per a les marques. Tan enorme que els CISO tenen cada cop més la tasca de liderar o ajudar els esforços de confiança d'una marca", va compartir Kime.
No obstant això, James McQuiggan, defensor de la conscienciació sobre la seguretat de KnowBe4, va dir a Lifewire per correu electrònic que aquests mecanismes no s'utilitzen tan àmpliament com haurien de ser i campanyes malicioses com la que informa Avanan s'aprofiten d'aquesta laxitud. A la seva publicació, Avanan va assenyalar Netflix, que utilitzava DMARC i no va ser falsificat, mentre que Trello, que no utilitza DMARC, sí.
Quan tinguis dubtes
Clements va afegir que, si bé la investigació d'Avanan mostra que els atacants van explotar el servei de retransmissió SMTP de Google, atacs similars inclouen comprometre els sistemes de correu electrònic d'una víctima inicial i després utilitzar-lo per a més atacs de pesca a tota la seva llista de contactes.
És per això que va suggerir que les persones que volen mantenir-se a salvo d'atacs de pesca haurien d'utilitzar diverses estratègies defensives.
Per començar, hi ha l'atac de falsificació de noms de domini, on els ciberdelinqüents utilitzen diverses tècniques per ocultar la seva adreça de correu electrònic amb el nom d'algú que l'objectiu pugui conèixer, com un familiar o superior del lloc de treball, esperant que no hi vagi. McQuiggan ha compartit el seu camí per assegurar-se que el correu electrònic prové de l'adreça electrònica disfressada.
"La gent no hauria d'acceptar cegament el nom al camp "De"", va advertir McQuiggan, i va afegir que almenys haurien d'anar darrere del nom de visualització i verificar l'adreça de correu electrònic."Si no estan segurs, sempre poden posar-se en contacte amb el remitent mitjançant un mètode secundari com ara un missatge de text o una trucada telefònica per verificar el remitent que ha d'enviar el correu electrònic", va suggerir.
No obstant això, a l'atac de retransmissió SMTP descrit per Avanan, confiar en un correu electrònic mirant només l'adreça electrònica del remitent no és suficient, ja que sembla que el missatge prové d'una adreça legítima.
"Afortunadament, això és l'únic que diferencia aquest atac dels correus electrònics de pesca normals", va assenyalar Clements. El correu electrònic fraudulent encara tindrà els signes reveladors de pesca, que és el que la gent hauria de buscar.
Per exemple, Clements va dir que el missatge podria contenir una sol·licitud inusual, sobretot si es transmet com a assumpte urgent. També tindria diverses errades d'ortografia i altres errors gramaticals. Una altra bandera vermella serien enllaços al correu electrònic que no van al lloc web habitual de l'organització del remitent.
"En cas de dubte, i gairebé sempre hauríeu de tenir-ho en dubte, [la gent] sempre hauria d'utilitzar camins de confiança, com ara anar directament al lloc web de l'empresa o trucar al número d'assistència que hi apareix per verificar, en lloc de fer clic als enllaços o posar-se en contacte amb els números de telèfon o correus electrònics que figuren al missatge sospitós ", va aconsellar Chris.
