Princípios importantes
- Pesquisadores de segurança cibernética notaram um aumento nos e-mails de phishing de endereços de e-mail legítimos.
- Eles alegam que essas mensagens falsas se aproveitam de uma falha em um serviço popular do Google e medidas de segurança negligentes das marcas falsificadas.
- Fique atento a sinais indicadores de phishing, mesmo quando o e-mail parecer ser de um contato legítimo, sugira especialistas.
Só porque esse e-mail tem o nome correto e um endereço de e-mail correto não significa que seja legítimo.
De acordo com os detetives de segurança cibernética da Avanan, os agentes de phishing encontraram uma maneira de abusar do serviço de retransmissão SMTP do Google, que lhes permite falsificar qualquer endereço do Gmail, incluindo os de marcas populares. A nova estratégia de ataque confere legitimidade ao e-mail fraudulento, deixando-o enganar não apenas o destinatário, mas também os mecanismos automatizados de segurança de e-mail.
"Os agentes de ameaças estão sempre procurando o próximo vetor de ataque disponível e encontram de maneira confiável maneiras criativas de contornar controles de segurança como filtragem de spam", disse Chris Clements, vice-presidente de arquitetura de soluções da Cerberus Sentinel, à Lifewire por e-mail. "Como afirma a pesquisa, este ataque utilizou o serviço de retransmissão SMTP do Google, mas houve um aumento recente nos invasores aproveitando fontes 'confiáveis'."
Não confie nos seus olhos
O Google oferece um serviço de redirecionamento SMTP usado pelos usuários do Gmail e do Google Workspace para rotear e-mails enviados. A falha, de acordo com Avanan, permitiu que os phishers enviassem e-mails maliciosos se passando por qualquer endereço de e-mail do Gmail e do Google Workspace. Durante duas semanas em abril de 2022, Avanan notou quase 30.000 desses e-mails falsos.
Em uma troca de e-mail com a Lifewire, Brian Kime, VP, Intelligence Strategy and Advisory da ZeroFox, compartilhou que as empresas têm acesso a vários mecanismos, incluindo DMARC, Sender Policy Framework (SPF) e DomainKeys Identified Mail (DKIM), que essencialmente ajudam os servidores de e-mail a rejeitar e-mails falsos e até mesmo relatar a atividade maliciosa de volta à marca personificada.
Quando em dúvida, e você quase sempre deve estar em dúvida, [as pessoas] devem sempre usar caminhos confiáveis… em vez de clicar em links…
"A confiança é enorme para as marcas. Tão grande que os CISOs estão cada vez mais encarregados de liderar ou ajudar os esforços de confiança de uma marca ", compartilhou Kime.
No entanto, James McQuiggan, defensor da conscientização de segurança da KnowBe4, disse à Lifewire por e-mail que esses mecanismos não são tão amplamente usados como deveriam ser, e campanhas maliciosas como a relatada pela Avanan tiram proveito dessa frouxidão. Em seu post, Avanan apontou para a Netflix, que usava DMARC e não foi falsificada, enquanto o Trello, que não usa DMARC, foi.
Na dúvida
Clements acrescentou que, embora a pesquisa da Avanan mostre que os invasores exploraram o serviço de retransmissão SMTP do Google, ataques semelhantes incluem comprometer os sistemas de e-mail de uma vítima inicial e usá-los para outros ataques de phishing em toda a lista de contatos.
É por isso que ele sugeriu que as pessoas que procuram permanecer seguras contra ataques de phishing devem empregar várias estratégias defensivas.
Para começar, há o ataque de falsificação de nome de domínio, em que os cibercriminosos usam várias técnicas para ocultar seu endereço de e-mail com o nome de alguém que o alvo pode conhecer, como um familiar ou superior do local de trabalho, esperando que ele não vá fora de seu caminho para garantir que o e-mail venha do endereço de e-mail disfarçado, compartilhou McQuiggan.
"As pessoas não devem aceitar cegamente o nome no campo 'De'", advertiu McQuiggan, acrescentando que elas deveriam pelo menos ir atrás do nome de exibição e verificar o endereço de e-mail."Se eles não tiverem certeza, eles sempre podem entrar em contato com o remetente por meio de um método secundário, como texto ou telefonema, para verificar se o remetente deve enviar o e-mail", ele sugeriu.
No entanto, no ataque de redirecionamento SMTP descrito por Avanan, confiar em um e-mail olhando apenas o endereço de e-mail do remetente não é suficiente, pois a mensagem parece vir de um endereço legítimo.
"Felizmente, essa é a única coisa que diferencia este ataque de e-mails de phishing normais", apontou Clements. O e-mail fraudulento ainda terá os sinais indicadores de phishing, que é o que as pessoas devem procurar.
Por exemplo, Clements disse que a mensagem pode conter um pedido incomum, especialmente se for transmitido como um assunto urgente. Também teria vários erros de digitação e outros erros gramaticais. Outra bandeira vermelha seriam os links no e-mail que não levam ao site habitual da organização do remetente.
"Quando em dúvida, e você quase sempre deve estar em dúvida, [as pessoas] devem sempre usar caminhos confiáveis, como ir diretamente ao site da empresa ou ligar para o número de suporte listado lá para verificar, em vez de clicar em links ou entrar em contato com os números de telefone ou e-mails listados na mensagem suspeita", aconselhou Chris.
