Əsas Çıxarışlar
- Kibertəhlükəsizlik tədqiqatçıları qanuni e-poçt ünvanlarından gələn fişinq e-poçtlarının sayının artdığını müşahidə ediblər.
- Onlar iddia edirlər ki, bu saxta mesajlar məşhur Google xidmətindəki çatışmazlıqdan istifadə edir və özünü tanıtdıran brendlərin təhlükəsizlik tədbirlərini zəiflədir.
- E-poçtun qanuni kontaktdan olduğu görünsə belə, fişinq əlamətlərini izləyin.
Həmin e-poçtun düzgün ada və düzgün e-poçt ünvanına malik olması onun qanuni olması demək deyil.
Avanan-dakı kibertəhlükəsizlik kəşfiyyatçılarının dediyinə görə, fişinq aktyorları məşhur brendlərin ünvanları da daxil olmaqla istənilən Gmail ünvanını saxtalaşdırmağa imkan verən Google-un SMTP relay xidmətindən sui-istifadə etməyin yolunu tapıblar. Yeni hücum strategiyası fırıldaqçı e-poçta legitimlik verir və onun təkcə alıcını deyil, həm də avtomatlaşdırılmış e-poçt təhlükəsizlik mexanizmlərini aldatmasına imkan verir.
"Təhlükə iştirakçıları həmişə növbəti mövcud hücum vektorunu axtarırlar və etibarlı şəkildə spam filtri kimi təhlükəsizlik nəzarətindən yan keçmək üçün yaradıcı yollar tapırlar," Cerberus Sentinel-in Həllər Memarlığı üzrə vitse-prezidenti Chris Clements Lifewire-a e-poçt vasitəsilə bildirib. "Tədqiqatda qeyd edildiyi kimi, bu hücum Google SMTP relay xidmətindən istifadə edib, lakin bu yaxınlarda "etibarlı" mənbələrdən istifadə edən hücumçuların sayı artıb."
Gözlərinizə Güvənməyin
Google Gmail və Google Workspace istifadəçiləri tərəfindən gedən e-poçtları yönləndirmək üçün istifadə edilən SMTP relay xidməti təklif edir. Avanan-a görə, qüsur fişerlərə istənilən Gmail və Google Workspace e-poçt ünvanlarını təqlid edərək zərərli məktublar göndərməyə imkan verdi.2022-ci ilin aprelində iki həftə ərzində Avanan 30 000-ə yaxın belə saxta e-məktub gördü.
Lifewire ilə e-poçt mübadiləsində, ZeroFox-un Kəşfiyyat Strategiyası və Məsləhətçisi VP Brian Kime, bizneslərin DMARC, Göndərən Siyasət Çərçivəsi (SPF) və DomainKeys Identified Mail (DKIM) daxil olmaqla bir neçə mexanizmə çıxışı olduğunu bildirdi., e-poçt serverlərinin aldadılmış e-poçtları rədd etməsinə və hətta zərərli fəaliyyəti təqlid edilmiş brendə bildirməsinə mahiyyətcə kömək edir.
Şübhə etdiyiniz zaman və demək olar ki, həmişə şübhə içində olmağınız lazım olduqda, [insanlar] həmişə etibarlı yollardan istifadə etməlidirlər… linklərə klikləmək əvəzinə…
"Brendlər üçün güvən böyükdür. O qədər böyükdür ki, CISO-ların üzərinə getdikcə daha çox brendin etibar səylərinə rəhbərlik etmək və ya kömək etmək vəzifəsi qoyulur" deyə Kime paylaşdı.
Lakin, KnowBe4-də təhlükəsizlik məlumatlılığı üzrə müdafiəçi James McQuiggan Lifewire-a e-poçt vasitəsilə bildirib ki, bu mexanizmlər lazım olduğu qədər geniş istifadə olunmur və Avanan tərəfindən bildirilən kimi zərərli kampaniyalar bu cür zəiflikdən istifadə edir. Avanan öz paylaşımında DMARC-dən istifadə edən və saxtalaşdırılmayan Netflix-i, DMARC-dən istifadə etməyən Trello isə bunu göstərdi.
Şübhə olanda
Klements əlavə edib ki, Avanan araşdırması təcavüzkarların Google SMTP relay xidmətindən istifadə etdiyini göstərsə də, oxşar hücumlara ilkin qurbanın e-poçt sistemlərini oğurlamaq və daha sonra onların bütün kontakt siyahısında növbəti fişinq hücumları üçün istifadə etmək daxildir.
Buna görə də o, fişinq hücumlarından təhlükəsiz qalmaq istəyən insanlara çoxsaylı müdafiə strategiyalarından istifadə etməyi təklif etdi.
Başlanğıclar üçün domen adı saxtakarlığı hücumu var, burada kibercinayətkarlar e-poçt ünvanlarını hədəfin tanıya biləcəyi birinin adı ilə gizlətmək üçün müxtəlif üsullardan istifadə edirlər, məsələn, ailə üzvü və ya iş yerindən rəhbər kimi onların getməməsini gözləyirlər. McQuiggan, e-poçtun gizlənmiş e-poçt ünvanından gəldiyinə əmin olmaq üçün əllərindən gələni etdi.
"İnsanlar 'Kimdən' sahəsindəki adı kor-koranə qəbul etməməlidirlər," deyə McQuiggan xəbərdar etdi və əlavə etdi ki, heç olmasa ekran adının arxasına keçib e-poçt ünvanını yoxlamalıdırlar."Əmin olmadıqda, göndərənin e-poçtu göndərmək istədiyini təsdiqləmək üçün hər zaman mətn və ya telefon zəngi kimi ikinci üsulla göndərənlə əlaqə saxlaya bilərlər" deyə o təklif etdi.
Lakin Avanan tərəfindən təsvir edilən SMTP relay hücumunda yalnız göndərənin e-poçt ünvanına baxmaqla e-poçta etibar etmək kifayət deyil, çünki mesaj qanuni ünvandan gəlir.
"Xoşbəxtlikdən, bu hücumu adi fişinq e-poçtlarından fərqləndirən yeganə şeydir" deyə Klements qeyd edib. Fırıldaqçı e-poçtda hələ də insanların axtarmalı olduğu fişinq əlamətləri olacaq.
Məsələn, Klements bildirib ki, mesajda qeyri-adi sorğu ola bilər, xüsusən də bu təcili məsələ kimi çatdırılırsa. O, həmçinin bir neçə yazı xətası və digər qrammatik səhvlərə malik olardı. Başqa bir qırmızı bayraq e-məktubda göndərən təşkilatın adi veb saytına getməyən keçidlər ola bilər.
"Şübhə içində olduğunuz zaman və demək olar ki, həmişə şübhə etdiyiniz zaman, [insanlar] linklərə və ya Şübhəli mesajda qeyd olunan telefon nömrələri və ya e-poçtlarla əlaqə saxlamaq "deyə Chris tövsiyə etdi.
