الوجبات الجاهزة الرئيسية
- لاحظ باحثو الأمن السيبراني ارتفاعًا طفيفًا في رسائل التصيد الاحتيالي الإلكترونية الواردة من عناوين البريد الإلكتروني الشرعية.
- يزعمون أن هذه الرسائل المزيفة تستفيد من خلل في خدمة Google الشعبية وتدابير أمنية متساهلة من قبل العلامات التجارية المنتحلة.
- راقب الإشارات الدالة على التصيد الاحتيالي ، حتى عندما يبدو أن البريد الإلكتروني من جهة اتصال شرعية ، اقترح الخبراء.
فقط لأن هذا البريد الإلكتروني يحمل الاسم الصحيح وعنوان البريد الإلكتروني الصحيح لا يعني أنه شرعي.
وفقًا لمباحث الأمن السيبراني في Avanan ، وجد ممثلو التصيد الاحتيالي طريقة لإساءة استخدام خدمة الترحيل SMTP من Google ، والتي تتيح لهم انتحال أي عنوان Gmail ، بما في ذلك عناوين العلامات التجارية الشهيرة. تضفي إستراتيجية الهجوم الجديدة الشرعية على البريد الإلكتروني الاحتيالي ، مما يسمح لها بخداع ليس فقط المستلم ولكن أيضًا آليات أمان البريد الإلكتروني الآلية.
"يبحث ممثلو التهديد دائمًا عن ناقل الهجوم التالي المتاح ويجدون طرقًا مبتكرة لتجاوز عناصر التحكم الأمنية مثل تصفية البريد العشوائي" ، هذا ما قاله كريس كليمنتس ، نائب رئيس حلول الهندسة في Cerberus Sentinel ، لـ Lifewire عبر البريد الإلكتروني. "كما يشير البحث ، استخدم هذا الهجوم خدمة الترحيل عبر SMTP من Google ، ولكن كان هناك ارتفاع مؤخرًا في المهاجمين الذين يستفيدون من المصادر" الموثوقة "."
لا تثق في عينيك
تقدم Google خدمة الترحيل عبر SMTP التي يستخدمها مستخدمو Gmail و Google Workspace لتوجيه رسائل البريد الإلكتروني الصادرة. ووفقًا لأفانان ، فإن هذا الخلل قد مكّن المحتالين من إرسال رسائل بريد إلكتروني ضارة عن طريق انتحال أي عنوان بريد إلكتروني في Gmail و Google Workspace.خلال أسبوعين في أبريل 2022 ، لاحظ أفانان ما يقرب من 30000 رسالة بريد إلكتروني مزيفة.
في تبادل البريد الإلكتروني مع Lifewire ، و Brian Kime ، نائب الرئيس ، و Intelligence Strategy and Advisory في ZeroFox ، شاركنا أن الشركات لديها إمكانية الوصول إلى العديد من الآليات ، بما في ذلك DMARC و Sender Policy Framework (SPF) و DomainKeys Identified Mail (DKIM) ، والتي تساعد بشكل أساسي في تلقي خوادم البريد الإلكتروني في رفض رسائل البريد الإلكتروني المخادعة وحتى الإبلاغ عن النشاط الضار إلى العلامة التجارية المنتحلة.
عندما تكون في شك ، ويجب أن تكون دائمًا في شك ، يجب على [الأشخاص] دائمًا استخدام المسارات الموثوقة … بدلاً من النقر فوق الروابط …
"الثقة ضخمة للعلامات التجارية. ضخمة جدًا لدرجة أن مديري أمن المعلومات يتم تكليفهم بشكل متزايد بقيادة أو مساعدة جهود ثقة العلامة التجارية" ، شارك Kime.
ومع ذلك ، أخبر جيمس ماكويغان ، المدافع عن الوعي الأمني في KnowBe4 ، Lifewire عبر البريد الإلكتروني أن هذه الآليات ليست مستخدمة على نطاق واسع كما ينبغي ، وأن الحملات الخبيثة مثل تلك التي أبلغ عنها Avanan تستفيد من هذا التراخي.في المنشور ، أشار أفانان إلى Netflix ، التي استخدمت DMARC ولم يتم انتحالها ، في حين أن Trello ، الذي لا يستخدم DMARC ، كان.
في حالة الشك
أضاف كليمنتس أنه بينما يُظهر بحث Avanan أن المهاجمين استغلوا خدمة الترحيل من Google SMTP ، فإن الهجمات المماثلة تشمل اختراق أنظمة البريد الإلكتروني للضحية الأولية ثم استخدام ذلك لمزيد من هجمات التصيد الاحتيالي على قائمة جهات الاتصال بأكملها.
لهذا السبب اقترح على الأشخاص الذين يتطلعون إلى البقاء في مأمن من هجمات التصيد الاحتيالي استخدام استراتيجيات دفاعية متعددة.
بالنسبة للمبتدئين ، هناك هجوم انتحال لاسم المجال ، حيث يستخدم المجرمون الإلكترونيون تقنيات مختلفة لإخفاء عنوان بريدهم الإلكتروني مع اسم شخص قد يعرفه الهدف ، مثل أحد أفراد الأسرة أو رئيس من مكان العمل ، ويتوقع منهم عدم الذهاب بعيدًا عن طريقهم للتأكد من أن البريد الإلكتروني يأتي من عنوان البريد الإلكتروني المقنع ، شارك McQuiggan.
"يجب ألا يقبل الأشخاص بشكل أعمى الاسم الموجود في الحقل" من "، كما حذر McQuiggan ، مضيفًا أنه يجب على الأقل تجاوز اسم العرض والتحقق من عنوان البريد الإلكتروني.واقترح: "إذا كانوا غير متأكدين ، فيمكنهم دائمًا الوصول إلى المرسل عبر طريقة ثانوية مثل الرسائل النصية أو المكالمات الهاتفية للتحقق من أن المرسل المقصود إرسال البريد الإلكتروني".
ومع ذلك ، في هجوم الترحيل عبر SMTP الذي وصفه Avanan ، فإن الوثوق في بريد إلكتروني من خلال النظر إلى عنوان البريد الإلكتروني للمرسل وحده لا يكفي لأن الرسالة ستظهر وكأنها واردة من عنوان شرعي.
"لحسن الحظ ، هذا هو الشيء الوحيد الذي يميز هذا الهجوم عن رسائل التصيد الاحتيالي العادية" ، أشار كليمنتس. ستظل رسائل البريد الإلكتروني الاحتيالية تحمل علامات منبهة التصيد الاحتيالي ، وهو ما يجب أن يبحث عنه الأشخاص.
على سبيل المثال ، قال كليمنتس أن الرسالة قد تحتوي على طلب غير عادي ، خاصة إذا تم نقلها كمسألة عاجلة. سيكون لها أيضًا العديد من الأخطاء المطبعية والأخطاء النحوية الأخرى. هناك علامة حمراء أخرى تتمثل في الروابط الموجودة في البريد الإلكتروني والتي لا تنتقل إلى موقع الويب المعتاد للمؤسسة المرسلة.
"عندما تكون في شك ، ويجب أن تكون دائمًا في شك ، يجب على [الأشخاص] دائمًا استخدام المسارات الموثوقة مثل الانتقال مباشرة إلى موقع الشركة على الويب أو الاتصال برقم الدعم المدرج هناك للتحقق ، بدلاً من النقر فوق الروابط أو الاتصال بأرقام الهواتف أو رسائل البريد الإلكتروني المدرجة في الرسالة المشبوهة ، "نصح كريس.
