Belangrijkste afhaalrestaurants
- Cybersecurity-onderzoekers hebben een toename opgemerkt in phishing-e-mails van legitieme e-mailadressen.
- Ze beweren dat deze nepberichten misbruik maken van een fout in een populaire Google-service en lakse beveiligingsmaatregelen van de nagebootste merken.
- Kijk uit voor verklikkers van phishing, zelfs als de e-mail van een legitiem contact lijkt te zijn, stel experts voor.
Alleen omdat die e-mail de juiste naam en een correct e-mailadres heeft, wil nog niet zeggen dat het legitiem is.
Volgens cybersecurity-speurders bij Avanan hebben phishing-actoren een manier gevonden om de SMTP-relayservice van Google te misbruiken, waardoor ze elk Gmail-adres kunnen vervalsen, inclusief dat van populaire merken. De nieuwe aanvalsstrategie geeft legitimiteit aan de frauduleuze e-mail, waardoor niet alleen de ontvanger voor de gek wordt gehouden, maar ook geautomatiseerde e-mailbeveiligingsmechanismen.
"Bedreigingsactoren zijn altijd op zoek naar de volgende beschikbare aanvalsvector en vinden op betrouwbare wijze creatieve manieren om beveiligingscontroles zoals spamfiltering te omzeilen", vertelde Chris Clements, VP Solutions Architecture bij Cerberus Sentinel, via e-mail aan Lifewire. "Zoals het onderzoek aangeeft, maakte deze aanval gebruik van de Google SMTP-relayservice, maar er is een recente toename van aanvallers die gebruikmaken van 'vertrouwde' bronnen."
Vertrouw je ogen niet
Google biedt een SMTP-relayservice die door Gmail- en Google Workspace-gebruikers wordt gebruikt om uitgaande e-mails te routeren. Volgens Avanan stelde de fout phishers in staat om kwaadaardige e-mails te verzenden door zich voor te doen als een Gmail- of Google Workspace-e-mailadres. Gedurende twee weken in april 2022 merkte Avanan bijna 30.000 van dergelijke valse e-mails op.
In een e-mailuitwisseling met Lifewire deelde Brian Kime, VP, Intelligence Strategy and Advisory bij ZeroFox, mee dat bedrijven toegang hebben tot verschillende mechanismen, waaronder DMARC, Sender Policy Framework (SPF) en DomainKeys Identified Mail (DKIM), die in wezen helpen bij het ontvangen van e-mailservers om vervalste e-mails te weigeren en zelfs de kwaadaardige activiteit terug te rapporteren aan het geïmiteerde merk.
Bij twijfel, en je zou bijna altijd moeten twijfelen, moeten [mensen] altijd vertrouwde paden gebruiken… in plaats van op links te klikken…
"Vertrouwen is enorm voor merken. Zo enorm dat CISO's steeds meer de taak krijgen om de vertrouwensinspanningen van een merk te leiden of te helpen, " vertelde Kime.
James McQuiggan, pleitbezorger van beveiligingsbewustzijn bij KnowBe4, vertelde Lifewire echter via e-mail dat deze mechanismen niet zo wijdverbreid worden gebruikt als zou moeten, en kwaadaardige campagnes zoals die gerapporteerd door Avanan profiteren van dergelijke laksheid. In hun bericht wees Avanan op Netflix, dat DMARC gebruikte en niet werd vervalst, terwijl Trello, dat geen DMARC gebruikt, dat wel was.
Als je twijfelt
Clements voegde eraan toe dat hoewel het Avanan-onderzoek aantoont dat de aanvallers de Google SMTP-relayservice hebben misbruikt, soortgelijke aanvallen het compromitteren van het e-mailsysteem van een eerste slachtoffer omvatten en dat vervolgens gebruiken voor verdere phishing-aanvallen op hun volledige contactenlijst.
Dit is de reden waarom hij suggereerde dat mensen die zich willen beschermen tegen phishing-aanvallen, meerdere verdedigingsstrategieën zouden moeten gebruiken.
Om te beginnen is er de domeinnaam-spoofing-aanval, waarbij cybercriminelen verschillende technieken gebruiken om hun e-mailadres te verbergen met de naam van iemand die het doelwit mogelijk kent, zoals een familielid of meerdere van de werkplek, in de verwachting dat ze niet gaan uit hun manier om ervoor te zorgen dat de e-mail afkomstig is van het verkapte e-mailadres, deelde McQuiggan.
"Mensen moeten de naam in het veld 'Van' niet blindelings accepteren, " waarschuwde McQuiggan, eraan toevoegend dat ze op zijn minst achter de weergavenaam moeten gaan en het e-mailadres moeten verifiëren."Als ze het niet zeker weten, kunnen ze altijd contact opnemen met de afzender via een secundaire methode zoals sms of telefoontje om te controleren of de afzender de e-mail heeft verzonden", stelde hij voor.
Bij de door Avanan beschreven SMTP-relay-aanval is het vertrouwen van een e-mail door alleen naar het e-mailadres van de afzender te kijken echter niet voldoende, aangezien het bericht van een legitiem adres lijkt te komen.
"Gelukkig is dat het enige dat deze aanval onderscheidt van normale phishing-e-mails," wees Clements. De frauduleuze e-mail zal nog steeds de verklikkersignalen van phishing hebben, waar mensen op moeten letten.
Clements zei bijvoorbeeld dat het bericht een ongebruikelijk verzoek kan bevatten, vooral als het wordt overgebracht als een dringende kwestie. Het zou ook verschillende typefouten en andere grammaticale fouten bevatten. Een andere rode vlag zijn links in de e-mail die niet naar de gebruikelijke website van de afzenderorganisatie gaan.
"Bij twijfel, en je zou bijna altijd moeten twijfelen, moeten [mensen] altijd vertrouwde paden gebruiken, zoals rechtstreeks naar de website van het bedrijf gaan of het daar vermelde ondersteuningsnummer bellen om te verifiëren, in plaats van op links of contact opnemen met telefoonnummers of e-mails die in het verdachte bericht worden vermeld, "adviseerde Chris.
