Κακόβουλοι παράγοντες καταχρώνται την υπηρεσία αναμετάδοσης SMTP της Google, για να παρακάμψουν τα προϊόντα ασφαλείας email και να παραδώσουν με επιτυχία κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου σε στοχευμένους χρήστες.
Δείτε επίσης: Phishing emails στοχεύουν τράπεζες και διανέμουν το Remcos RAT
Σύμφωνα με μια αναφορά από την εταιρεία ασφάλειας email Avanan, υπήρξε μια ξαφνική αύξηση στους παράγοντες απειλών που κάνουν κατάχρηση της υπηρεσίας αναμετάδοσης SMTP της Google από τον Απρίλιο του 2022.
Η εταιρεία έχει εντοπίσει τουλάχιστον 30.000 email τις πρώτες δύο εβδομάδες του Απριλίου που διανέμονται μέσω αυτής της μεθόδου.
Η Google προσφέρει μια υπηρεσία αναμετάδοσης SMTP (Simple Mail Transfer Protocol) που μπορεί να χρησιμοποιηθεί από χρήστες του Gmail και του Google Workspace για τη δρομολόγηση εξερχόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Οι επιχειρήσεις χρησιμοποιούν αυτήν την υπηρεσία για διάφορους λόγους, όπως το μάρκετινγκ των μηνυμάτων ηλεκτρονικού ταχυδρομείου.
Η Avanan δηλώνει ότι οι φορείς απειλών μπορούν να χρησιμοποιήσουν την υπηρεσία αναμετάδοσης SMTP της Google για να παραπλανήσουν άλλους χρήστες του Gmail χωρίς να εντοπιστούν, εφόσον αυτοί οι τομείς δεν έχουν πολιτική DMARC διαμορφωμένη με την οδηγία «απόρριψη».
Ο έλεγχος ταυτότητας μηνυμάτων βάσει τομέα ή DMARC, είναι ένα πρωτόκολλο ελέγχου ταυτότητας που επιτρέπει στους κατόχους τομέα να προσδιορίζουν τι θα συμβεί εάν ένα μήνυμα ηλεκτρονικού ταχυδρομείου παραπλανά τον τομέα τους.
Δείτε ακόμα: Phishing emails διανέμουν το Agent Tesla malware μέσω κακόβουλων PowerPoint
Για να γίνει αυτό, οι κάτοχοι τομέα δημιουργούν μια ειδική εγγραφή DMARC DNS που περιλαμβάνει μια οδηγία που λέει στον διακομιστή αλληλογραφίας τι να κάνει. Αυτές οι οδηγίες είναι “καμία” (να μην κάνετε τίποτα με το πλαστό email), “καραντίνα” (τοποθετήστε το email στον φάκελο ανεπιθύμητης αλληλογραφίας) ή “απόρριψη” (δεν αποδέχεστε καθόλου email).
Οι νέες καμπάνιες ηλεκτρονικού ψαρέματος χρησιμοποιούν τον διακομιστή SMTP «smtp-relay.gmail.com», ο οποίος είναι ένας αξιόπιστος διακομιστής και επομένως τοποθετείται συνήθως σε λίστες επιτρεπόμενων μέσω πυλών ηλεκτρονικού ταχυδρομείου και υπηρεσιών φιλτραρίσματος ανεπιθύμητων μηνυμάτων.
Όπως αναφέρθηκε προηγουμένως, αυτές οι επιθέσεις λειτουργούν μόνο εάν η οντότητα που πλαστοπροσωπείται έχει ορίσει την πολιτική DMARC σε “κανένα”, κάτι που δεν είναι τόσο ασυνήθιστο. Για παράδειγμα, οι πολιτικές DMARC των dell.com, wikipedia.org, yandex.ru, pornhub.com, bit.ly και live.com έχουν οριστεί σε “κανένα”.
Ο καθορισμός αυστηρών πολιτικών DMARC είναι μια συνιστώμενη πρακτική ασφάλειας, καθώς βοηθά στην αποτροπή των παραγόντων απειλών από την πλαστογράφηση τομέων.
Ο έλεγχος της διεύθυνσης του αποστολέα για τον εντοπισμό μιας κακόβουλης απόπειρας πλαστογράφησης δεν αρκεί έναντι αυτού του τύπου επίθεσης, επομένως ο έλεγχος των πλήρων κεφαλίδων όταν δεν είστε σίγουροι θα ήταν πολύ χρήσιμος.
Δείτε επίσης: Google προς χρήστες: Μπορείτε να περιορίσετε τα ads για απώλεια βάρους και dating
Επιπλέον, όταν οι σύνδεσμοι είναι ενσωματωμένοι στο σώμα του μηνύματος, τοποθετήστε το δείκτη του ποντικιού πάνω τους για να ελέγξετε τον προορισμό αντί να κάνετε κλικ. Μερικές φορές, η απλή επίσκεψη σε επιβλαβείς τοποθεσίες είναι αρκετή για την διάδοση κακόβουλου λογισμικού στο σύστημά σας.
Τέλος, εάν το μήνυμα περιέχει συνημμένα, ειδικά εάν πρόκειται για επικίνδυνες μορφές, μην τα κατεβάσετε και μην τα ανοίξετε.
