Key Takeaways
- Cybersicherheitsforscher haben einen Anstieg von Phishing-E-Mails von legitimen E-Mail-Adressen festgestellt.
- Sie behaupten, dass diese gefälschten Nachrichten einen Fehler in einem beliebten Google-Dienst und laxe Sicherheitsmaßnahmen der imitierten Marken ausnutzen.
- Achten Sie auf verräterische Anzeichen von Phishing, auch wenn die E-Mail von einem legitimen Kontakt zu stammen scheint. Schlagen Sie Experten vor.
Nur weil diese E-Mail den richtigen Namen und eine korrekte E-Mail-Adresse hat, heißt das noch lange nicht, dass sie legitim ist.
Laut Cybersicherheitsdetektiven von Avanan haben Phishing-Akteure einen Weg gefunden, den SMTP-Relay-Dienst von Google zu missbrauchen, der es ihnen ermöglicht, jede Gmail-Adresse zu fälschen, einschließlich der von bekannten Marken. Die neuartige Angriffsstrategie verleiht der betrügerischen E-Mail Legitimität und lässt sie nicht nur den Empfänger, sondern auch automatisierte E-Mail-Sicherheitsmechanismen täuschen.
"Bedrohungsakteure suchen immer nach dem nächsten verfügbaren Angriffsvektor und finden zuverlässig kreative Wege, um Sicherheitskontrollen wie Spamfilter zu umgehen", sagte Chris Clements, VP Solutions Architecture bei Cerberus Sentinel, Lifewire per E-Mail. „Wie die Studie besagt, nutzte dieser Angriff den SMTP-Relay-Dienst von Google, aber es gab in letzter Zeit einen Anstieg der Angreifer, die „vertrauenswürdige“Quellen nutzen.“
Traue deinen Augen nicht
Google bietet einen SMTP-Relay-Dienst an, der von Gmail- und Google Workspace-Nutzern verwendet wird, um ausgehende E-Mails weiterzuleiten. Laut Avanan ermöglichte der Fehler Phishern, böswillige E-Mails zu versenden, indem sie sich als beliebige E-Mail-Adressen von Gmail und Google Workspace ausgaben. Innerhalb von zwei Wochen im April 2022 bemerkte Avanan fast 30.000 solcher gefälschten E-Mails.
In einem E-Mail-Austausch mit Lifewire teilte Brian Kime, VP, Intelligence Strategy and Advisory bei ZeroFox, mit, dass Unternehmen Zugriff auf mehrere Mechanismen haben, darunter DMARC, Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM)., die im Wesentlichen dazu beitragen, dass empfangende E-Mail-Server gefälschte E-Mails ablehnen und sogar die böswillige Aktivität an die imitierte Marke zurückmelden.
Im Zweifelsfall, und Sie sollten fast immer Zweifel haben, sollten [Personen] immer vertrauenswürdige Pfade verwenden… anstatt auf Links zu klicken…
"Vertrauen ist enorm für Marken. So riesig, dass CISOs zunehmend damit beauftragt werden, die Vertrauensbemühungen einer Marke zu leiten oder zu unterstützen", teilte Kime mit.
James McQuiggan, Verfechter des Sicherheitsbewusstseins bei KnowBe4, teilte Lifewire jedoch per E-Mail mit, dass diese Mechanismen nicht so weit verbreitet sind, wie sie sein sollten, und dass böswillige Kampagnen wie die von Avanan berichtete diese Nachlässigkeit ausnutzen. In ihrem Beitrag wies Avanan auf Netflix hin, das DMARC verwendete und nicht gespooft wurde, während es Trello war, das DMARC nicht verwendet.
Im Zweifel
Clements fügte hinzu, dass die Avanan-Untersuchung zwar zeigt, dass die Angreifer den SMTP-Relay-Dienst von Google ausgenutzt haben, ähnliche Angriffe jedoch auch die Kompromittierung der E-Mail-Systeme eines ersten Opfers und die anschließende Verwendung für weitere Phishing-Angriffe auf ihre gesamte Kontaktliste umfassen.
Deshalb schlug er vor, dass Personen, die sich vor Phishing-Angriffen schützen möchten, mehrere Abwehrstrategien anwenden sollten.
Für den Anfang gibt es den Spoofing-Angriff auf Domainnamen, bei dem Cyberkriminelle verschiedene Techniken anwenden, um ihre E-Mail-Adresse mit dem Namen einer Person zu verbergen, die das Ziel möglicherweise kennt, wie ein Familienmitglied oder Vorgesetzter am Arbeitsplatz, in der Erwartung, dass sie nicht gehen um sicherzustellen, dass die E-Mail von der getarnten E-Mail-Adresse stammt, teilte McQuiggan mit.
"Die Leute sollten den Namen im Feld "Von" nicht blind akzeptieren", warnte McQuiggan und fügte hinzu, dass sie zumindest hinter den Anzeigenamen gehen und die E-Mail-Adresse überprüfen sollten.„Wenn sie sich nicht sicher sind, können sie den Absender jederzeit über eine sekundäre Methode wie Textnachricht oder Telefonanruf erreichen, um den Absender zu verifizieren, der die E-Mail senden soll“, schlug er vor.
Bei dem von Avanan beschriebenen SMTP-Relay-Angriff reicht es jedoch nicht aus, einer E-Mail zu vertrauen, indem man sich nur die E-Mail-Adresse des Absenders ansieht, da die Nachricht scheinbar von einer legitimen Adresse stammt.
"Glücklicherweise ist das das Einzige, was diesen Angriff von normalen Phishing-E-Mails unterscheidet", betonte Clements. Die betrügerische E-Mail weist immer noch die verräterischen Anzeichen von Phishing auf, worauf die Leute achten sollten.
Zum Beispiel sagte Clements, dass die Nachricht eine ungewöhnliche Bitte enth alten könnte, besonders wenn es sich um eine dringende Angelegenheit handelt. Es würde auch mehrere Tippfehler und andere grammatikalische Fehler enth alten. Ein weiteres Warnsignal wären Links in der E-Mail, die nicht zur üblichen Website der Absenderorganisation führen.
"Im Zweifelsfall, und Sie sollten fast immer Zweifel haben, sollten [Personen] immer vertrauenswürdige Pfade verwenden, z. B. direkt zur Website des Unternehmens gehen oder die dort aufgeführte Supportnummer anrufen, um dies zu überprüfen, anstatt auf Links zu klicken oder Telefonnummern oder E-Mail-Adressen kontaktieren, die in der verdächtigen Nachricht aufgeführt sind“, riet Chris.
