ซื้อกลับบ้านที่สำคัญ
- นักวิจัยด้านความปลอดภัยทางไซเบอร์สังเกตเห็นอีเมลฟิชชิ่งที่เพิ่มขึ้นจากที่อยู่อีเมลที่ถูกต้อง
- พวกเขาอ้างว่าข้อความปลอมเหล่านี้ใช้ประโยชน์จากข้อบกพร่องในบริการยอดนิยมของ Google และมาตรการรักษาความปลอดภัยที่หละหลวมโดยแบรนด์ที่แอบอ้าง
- คอยดูสัญญาณฟิชชิ่งที่บอกเป็นนัย แม้ว่าอีเมลจะดูเหมือนมาจากการติดต่อที่ถูกต้อง โปรดแนะนำผู้เชี่ยวชาญ
เพียงเพราะอีเมลนั้นมีชื่อที่ถูกต้องและที่อยู่อีเมลที่ถูกต้องไม่ได้หมายความว่าอีเมลนั้นถูกต้อง
จากรายงานของนักสืบด้านความปลอดภัยทางไซเบอร์ที่ Avanan ผู้ทำการฟิชชิ่งพบวิธีละเมิดบริการส่งต่อ SMTP ของ Google ซึ่งช่วยให้พวกเขาสามารถปลอมแปลงที่อยู่ Gmail ใดๆ ก็ได้ รวมถึงที่อยู่ของแบรนด์ดังด้วย กลยุทธ์การโจมตีแบบใหม่ให้ความชอบธรรมกับอีเมลหลอกลวง ไม่เพียงแต่หลอกผู้รับเท่านั้น แต่ยังรวมถึงกลไกความปลอดภัยอีเมลอัตโนมัติด้วย
"ผู้คุกคามมักจะมองหาเวกเตอร์การโจมตีถัดไปอยู่เสมอ และค้นหาวิธีที่สร้างสรรค์ในการหลีกเลี่ยงการควบคุมความปลอดภัย เช่น การกรองสแปมได้อย่างน่าเชื่อถือ" Chris Clements รองประธานฝ่ายสถาปัตยกรรมโซลูชันของ Cerberus Sentinel กล่าวกับ Lifewire ทางอีเมล "ตามที่การวิจัยระบุ การโจมตีนี้ใช้บริการส่งต่อ Google SMTP แต่มีผู้โจมตีที่ใช้ประโยชน์จากแหล่งที่มาที่ 'เชื่อถือได้' ขึ้นเมื่อเร็วๆ นี้"
อย่าเชื่อสายตา
Google มีบริการส่งต่อ SMTP ที่ผู้ใช้ Gmail และ Google Workspace ใช้เพื่อกำหนดเส้นทางอีเมลขาออก ข้อบกพร่องตาม Avanan ทำให้ฟิชเชอร์สามารถส่งอีเมลที่เป็นอันตรายโดยแอบอ้างเป็นที่อยู่อีเมล Gmail และ Google Workspaceในช่วงสองสัปดาห์ในเดือนเมษายน 2022 Avanan สังเกตเห็นอีเมลปลอมดังกล่าวเกือบ 30,000 ฉบับ
ในการแลกเปลี่ยนอีเมลกับ Lifewire, Brian Kime, VP, Intelligence Strategy and Advisory ที่ ZeroFox ได้แชร์ว่าธุรกิจต่างๆ สามารถเข้าถึงกลไกต่างๆ ได้ รวมถึง DMARC, Sender Policy Framework (SPF) และ DomainKeys Identified Mail (DKIM) ซึ่งช่วยให้รับเซิร์ฟเวอร์อีเมลปฏิเสธอีเมลปลอมและรายงานกิจกรรมที่เป็นอันตรายกลับไปยังแบรนด์ที่แอบอ้างได้
เมื่อมีข้อสงสัย และคุณเกือบจะสงสัยตลอดเวลา [ผู้คน] ควรใช้เส้นทางที่เชื่อถือได้เสมอ… แทนที่จะคลิกลิงก์…
"ความเชื่อถือนั้นยิ่งใหญ่สำหรับแบรนด์ CISO นั้นใหญ่มากจนได้รับมอบหมายให้เป็นผู้นำหรือช่วยเหลือความพยายามในการไว้วางใจของแบรนด์มากขึ้นเรื่อยๆ" Kime แชร์
อย่างไรก็ตาม James McQuiggan ผู้สนับสนุนด้านความตระหนักด้านความปลอดภัยที่ KnowBe4 บอกกับ Lifewire ทางอีเมลว่ากลไกเหล่านี้ไม่ได้ถูกใช้อย่างแพร่หลายเท่าที่ควร และแคมเปญที่เป็นอันตรายเช่นที่ Avanan รายงานโดยใช้ประโยชน์จากความหละหลวมดังกล่าวในโพสต์ Avanan ชี้ไปที่ Netflix ซึ่งใช้ DMARC และไม่ได้ปลอมแปลง ขณะที่ Trello ซึ่งไม่ได้ใช้ DMARC เคยเป็น
เมื่อสงสัย
Clements เสริมว่าในขณะที่การวิจัยของ Avanan แสดงให้เห็นว่าผู้โจมตีใช้ประโยชน์จากบริการส่งต่อ SMTP ของ Google การโจมตีที่คล้ายกันนั้นรวมถึงการประนีประนอมระบบอีเมลของเหยื่อรายแรกแล้วใช้การโจมตีแบบฟิชชิ่งเพิ่มเติมในรายชื่อผู้ติดต่อทั้งหมด
นี่คือเหตุผลที่เขาแนะนำให้ผู้ที่ต้องการรักษาความปลอดภัยจากการโจมตีแบบฟิชชิงควรใช้กลยุทธ์การป้องกันที่หลากหลาย
สำหรับผู้เริ่มต้น มีการโจมตีชื่อโดเมนที่ปลอมแปลง โดยอาชญากรไซเบอร์ใช้เทคนิคต่างๆ เพื่อซ่อนที่อยู่อีเมลของพวกเขาด้วยชื่อบุคคลที่เป้าหมายอาจรู้จัก เช่น สมาชิกในครอบครัวหรือหัวหน้าจากที่ทำงานโดยคาดหวังว่าจะไม่ไป ออกนอกเส้นทางเพื่อให้แน่ใจว่าอีเมลนั้นมาจากที่อยู่อีเมลปลอม McQuiggan ที่แชร์
"ผู้คนไม่ควรสุ่มสี่สุ่มห้ายอมรับชื่อในช่อง 'จาก'" McQuiggan เตือน และเสริมว่าอย่างน้อยพวกเขาควรอยู่เบื้องหลังชื่อที่แสดงและยืนยันที่อยู่อีเมล"หากไม่แน่ใจ พวกเขาสามารถติดต่อผู้ส่งได้เสมอโดยใช้วิธีรอง เช่น ข้อความหรือโทรศัพท์เพื่อยืนยันผู้ส่งที่ต้องการส่งอีเมล" เขาแนะนำ
อย่างไรก็ตาม ในการโจมตีแบบส่งต่อ SMTP ที่ Avanan อธิบายไว้โดยเชื่อถืออีเมลโดยดูที่ที่อยู่อีเมลของผู้ส่งเพียงอย่างเดียวไม่เพียงพอ เนื่องจากข้อความจะดูเหมือนว่ามาจากที่อยู่ที่ถูกต้อง
"โชคดี นั่นเป็นสิ่งเดียวที่ทำให้การโจมตีนี้แตกต่างจากอีเมลฟิชชิ่งทั่วไป" Clements ชี้ อีเมลหลอกลวงยังคงมีสัญญาณฟิชชิ่งซึ่งเป็นสิ่งที่ผู้คนควรมองหา
เช่น Clements กล่าวว่าข้อความอาจมีคำขอที่ผิดปกติ โดยเฉพาะอย่างยิ่งหากเป็นกรณีเร่งด่วน นอกจากนี้ยังมีการพิมพ์ผิดและข้อผิดพลาดทางไวยากรณ์อื่นๆ อีกหลายประการ ธงสีแดงอีกอันคือลิงก์ในอีเมลที่ไม่ไปที่เว็บไซต์ปกติขององค์กรผู้ส่ง
"เมื่อมีข้อสงสัย และเกือบทุกครั้งคุณมักจะสงสัย [คน] ควรใช้เส้นทางที่เชื่อถือได้เสมอ เช่น ไปที่เว็บไซต์ของบริษัทโดยตรง หรือโทรไปที่หมายเลขสนับสนุนที่ระบุไว้ที่นั่นเพื่อยืนยัน แทนที่จะคลิกลิงก์หรือ ติดต่อหมายเลขโทรศัพท์หรืออีเมลที่ระบุไว้ในข้อความที่น่าสงสัย " คริสแนะนำ
