Հիմնական տանողներ
- Կիբերանվտանգության հետազոտողները նկատել են օրինական էլփոստի հասցեներից ֆիշինգի նամակների աճ:
- Նրանք պնդում են, որ այս կեղծ հաղորդագրություններն օգտվում են Google-ի հանրահայտ ծառայության թերությունից և թույլ են տալիս անձնավորված ապրանքանիշերի անվտանգության միջոցները:
- Ուշադիր եղեք ֆիշինգի ազդանշանային նշանների համար, նույնիսկ երբ թվում է, թե նամակը օրինական կոնտակտներից է, առաջարկում են փորձագետները:
Միայն այն պատճառով, որ այդ էլ․ հասցեն ունի ճիշտ անունը և ճիշտ էլ․ հասցեն, չի նշանակում, որ այն օրինական է։
Ըստ Ավանանի կիբերանվտանգության հետախույզների, ֆիշինգի դերակատարները գտել են Google-ի SMTP ռելեի ծառայությունը չարաշահելու միջոց, որը թույլ է տալիս խաբել Gmail-ի ցանկացած հասցե, ներառյալ հայտնի ապրանքանիշերի հասցեները: Հարձակման նոր ռազմավարությունը օրինականություն է տալիս խարդախ էլ.
«Սպառնալիքների դերակատարները միշտ փնտրում են հաջորդ հասանելի հարձակման վեկտորը և հուսալիորեն գտնում են ստեղծագործական ուղիներ՝ շրջանցելու անվտանգության հսկողությունը, ինչպիսին է սպամի զտումը»,- Lifewire-ին էլփոստով ասաց Քրիս Քլեմենթսը, Cerberus Sentinel-ի Solutions Architecture-ի փոխնախագահը: «Ինչպես ասվում է հետազոտության մեջ, այս հարձակումն օգտագործել է Google SMTP ռելեի ծառայությունը, սակայն վերջին շրջանում հարձակում է գրանցվել «վստահելի» աղբյուրների օգտագործմամբ:»
Մի վստահիր քո աչքերին
Google-ն առաջարկում է SMTP ռելեի ծառայություն, որն օգտագործվում է Gmail-ի և Google Workspace-ի օգտատերերի կողմից՝ ելքային էլ. Թերությունը, ըստ Ավանանի, ֆիշերներին հնարավորություն է տվել չարամիտ նամակներ ուղարկել՝ նմանակելով Gmail-ի և Google Workspace-ի ցանկացած էլփոստի հասցեի:2022 թվականի ապրիլի երկու շաբաթվա ընթացքում Ավանանը նկատել է մոտ 30 000 նման կեղծ նամակներ։
Lifewire-ի հետ էլեկտրոնային փոստի փոխանակման ժամանակ ZeroFox-ի հետախուզական ռազմավարության և խորհրդատուի փոխնախագահ Բրայան Քիմը հայտնել է, որ ձեռնարկություններին հասանելի են մի քանի մեխանիզմներ, այդ թվում՝ DMARC, ուղարկողի քաղաքականության շրջանակ (SPF) և DomainKeys Identified Mail (DKIM), որն ըստ էության օգնում է էլփոստի սերվերներին մերժել կեղծ նամակները և նույնիսկ զեկուցել չարամիտ գործողությունների մասին անուննավորված ապրանքանիշին:
Երբ կասկածում եք, և դուք գրեթե միշտ պետք է կասկածի տակ լինեք, [մարդիկ] միշտ պետք է օգտագործեն վստահելի ուղիներ… հղումները սեղմելու փոխարեն…
«Վստահությունը մեծ է ապրանքանիշերի համար: Այնքան մեծ է, որ CISO-ներին ավելի ու ավելի է հանձնարարվում առաջնորդել կամ օգնել բրենդի վստահության ջանքերին», - կիսվել է Kime-ը:
Սակայն, KnowBe4-ի անվտանգության իրազեկման ջատագով Ջեյմս ՄաքՔուիգանը Lifewire-ին էլփոստով ասաց, որ այս մեխանիզմներն այնքան էլ լայնորեն չեն օգտագործվում, որքան պետք է լինեին, և վնասակար արշավները, ինչպիսին է Ավանանի հաղորդումը, օգտվում են նման թուլությունից:Իրենց գրառման մեջ Ավանան մատնանշել է Netflix-ը, որն օգտագործում էր DMARC և չէր կեղծվել, մինչդեռ Trello-ն, որը չի օգտագործում DMARC, մատնանշեց:
Երբ կասկածում եք
Clements-ն ավելացրել է, որ թեև Ավանանի հետազոտությունը ցույց է տալիս, որ հարձակվողները շահագործել են Google SMTP ռելե ծառայությունը, նմանատիպ հարձակումները ներառում են զոհի սկզբնական էլփոստի համակարգերի վտանգի ենթարկելը և այնուհետև օգտագործել այն հետագա ֆիշինգային հարձակումների համար նրանց ամբողջ կոնտակտների ցանկում:
Ահա թե ինչու նա առաջարկեց այն մարդկանց, ովքեր ցանկանում են պաշտպանվել ֆիշինգի հարձակումներից, պետք է օգտագործեն բազմաթիվ պաշտպանական ռազմավարություններ:
Սկզբի համար կա տիրույթի անունների կեղծման հարձակումը, որտեղ կիբերհանցագործներն օգտագործում են տարբեր մեթոդներ՝ թաքցնելու իրենց էլփոստի հասցեն այն անձի անունով, ում կարող է ծանոթ լինել, օրինակ՝ ընտանիքի անդամի կամ աշխատավայրից վերադասի՝ ակնկալելով, որ նրանք չգնան: Նրանք չեն կարողանում ապահովել, որ նամակը գալիս է քողարկված էլփոստի հասցեից, կիսվել է McQuiggan-ից:
«Մարդիկ չպետք է կուրորեն ընդունեն անունը «From» դաշտում», - նախազգուշացրել է ՄաքՔուիգանը, ավելացնելով, որ նրանք պետք է գոնե հետևեն ցուցադրվող անվանմանը և ստուգեն էլփոստի հասցեն:«Եթե նրանք վստահ չեն, նրանք միշտ կարող են կապվել ուղարկողի հետ երկրորդական եղանակով, օրինակ՝ տեքստային կամ հեռախոսազանգով, որպեսզի ստուգեն, որ ուղարկողը նախատեսված է էլփոստի հասցեին», - առաջարկեց նա:
Սակայն Ավանանի կողմից նկարագրված SMTP ռելեի հարձակման ժամանակ միայն ուղարկողի էլ. հասցեին նայելով նամակին վստահելը բավարար չէ, քանի որ հաղորդագրությունը կարծես թե գալիս է օրինական հասցեից:
«Բարեբախտաբար, դա միակ բանն է, որը տարբերում է այս հարձակումը սովորական ֆիշինգ էլ. նամակներից», - մատնանշեց Կլեմենթսը: Խարդախ էլ.փոստը դեռևս կունենա ֆիշինգի ազդանշան, ինչը մարդիկ պետք է փնտրեն:
Օրինակ, Կլեմենթսն ասաց, որ հաղորդագրությունը կարող է անսովոր խնդրանք պարունակել, հատկապես, եթե այն փոխանցվում է որպես հրատապ հարց: Այն նաև կունենա մի քանի տառասխալներ և այլ քերականական սխալներ։ Մեկ այլ կարմիր դրոշը կլինի էլփոստի հղումները, որոնք չեն գնում ուղարկող կազմակերպության սովորական կայք:
«Երբ կասկածում եք, և դուք պետք է գրեթե միշտ կասկածի տակ լինեք, [մարդիկ] միշտ պետք է օգտագործեն վստահելի ուղիներ, ինչպիսիք են ուղղակիորեն ընկերության կայք գնալը կամ ստուգելու համար այնտեղ նշված աջակցության համարը զանգահարելու փոխարեն՝ սեղմելով հղումները կամ կապվելով կասկածելի հաղորդագրության մեջ նշված հեռախոսահամարներով կամ էլ. նամակներով»,- խորհուրդ է տվել Քրիսը:
