Bài học rút ra chính
- Các nhà nghiên cứu an ninh mạng đã nhận thấy sự gia tăng trong các email lừa đảo từ các địa chỉ email hợp pháp.
- Họ cho rằng những tin nhắn giả mạo này lợi dụng lỗ hổng trong một dịch vụ phổ biến của Google và các biện pháp bảo mật lỏng lẻo của các thương hiệu mạo danh.
- Theo dõi các dấu hiệu lừa đảo trực tuyến, ngay cả khi email có vẻ là từ một liên hệ hợp pháp, hãy đề xuất các chuyên gia.
Chỉ vì email đó có tên phù hợp và địa chỉ email chính xác không có nghĩa là email đó hợp pháp.
Theo cơ quan quản lý an ninh mạng tại Avanan, những kẻ lừa đảo đã tìm ra cách để lạm dụng dịch vụ chuyển tiếp SMTP của Google, cho phép chúng giả mạo bất kỳ địa chỉ Gmail nào, bao gồm cả địa chỉ của các thương hiệu nổi tiếng. Chiến lược tấn công mới tạo ra tính hợp pháp cho email lừa đảo, cho phép nó đánh lừa không chỉ người nhận mà còn đánh lừa các cơ chế bảo mật email tự động.
"Những kẻ đe dọa luôn tìm kiếm vectơ tấn công có sẵn tiếp theo và tìm ra những cách sáng tạo đáng tin cậy để vượt qua các biện pháp kiểm soát bảo mật như lọc thư rác", Chris Clements, VP Solutions Architecture tại Cerberus Sentinel, nói với Lifewire qua email. "Như nghiên cứu đã nêu, cuộc tấn công này sử dụng dịch vụ chuyển tiếp SMTP của Google, nhưng gần đây đã có một sự gia tăng về những kẻ tấn công sử dụng các nguồn 'đáng tin cậy'."
Đừng tin vào mắt bạn
Google cung cấp dịch vụ chuyển tiếp SMTP được người dùng Gmail và Google Workspace sử dụng để định tuyến các email gửi đi. Theo Avanan, lỗ hổng này đã cho phép những kẻ lừa đảo gửi email độc hại bằng cách mạo danh bất kỳ địa chỉ email Gmail và Google Workspace nào. Trong hai tuần vào tháng 4 năm 2022, Avanan nhận thấy gần 30.000 email giả như vậy.
Trong một cuộc trao đổi qua email với Lifewire, Brian Kime, Phó chủ tịch, Chiến lược tình báo và Cố vấn tại ZeroFox, đã chia sẻ rằng các doanh nghiệp có quyền truy cập vào một số cơ chế, bao gồm DMARC, Khung chính sách người gửi (SPF) và Thư được xác định DomainKeys (DKIM), về cơ bản giúp máy chủ nhận email từ chối các email giả mạo và thậm chí báo cáo lại hoạt động độc hại cho thương hiệu bị mạo danh.
Khi nghi ngờ và hầu như bạn luôn phải nghi ngờ, [mọi người] nên luôn sử dụng đường dẫn đáng tin cậy… thay vì nhấp vào liên kết…
"Niềm tin là rất lớn đối với các thương hiệu. Rất lớn đến mức các CISO ngày càng được giao nhiệm vụ dẫn dắt hoặc giúp đỡ các nỗ lực tin tưởng của thương hiệu", Kime chia sẻ.
Tuy nhiên, James McQuiggan, người ủng hộ nâng cao nhận thức về bảo mật tại KnowBe4, nói với Lifewire qua email rằng các cơ chế này không được sử dụng rộng rãi như bình thường và các chiến dịch độc hại như cơ chế được báo cáo bởi Avanan đã tận dụng sự lỏng lẻo đó. Trong bài đăng của họ, Avanan chỉ đến Netflix, sử dụng DMARC và không bị giả mạo, trong khi Trello, không sử dụng DMARC, là.
Khi nghi ngờ
Clements nói thêm rằng trong khi nghiên cứu của Avanan cho thấy những kẻ tấn công đã khai thác dịch vụ chuyển tiếp SMTP của Google, các cuộc tấn công tương tự bao gồm việc xâm nhập hệ thống email của nạn nhân ban đầu và sau đó sử dụng nó để tấn công lừa đảo tiếp theo trên toàn bộ danh sách liên hệ của họ.
Đây là lý do tại sao anh ấy đề nghị những người muốn giữ an toàn trước các cuộc tấn công lừa đảo nên áp dụng nhiều chiến lược phòng thủ.
Đối với người mới bắt đầu, có cuộc tấn công giả mạo tên miền, nơi tội phạm mạng sử dụng các kỹ thuật khác nhau để ẩn địa chỉ email của họ với tên của người nào đó mà mục tiêu có thể biết, như thành viên gia đình hoặc cấp trên từ nơi làm việc, mong họ không đi McQuiggan đã chia sẻ rằng email đó đến từ địa chỉ email trá hình.
"Mọi người không nên chấp nhận tên trong trường 'Từ' một cách mù quáng", McQuiggan cảnh báo, đồng thời thêm rằng ít nhất họ nên đi sau tên hiển thị và xác minh địa chỉ email."Nếu họ không chắc chắn, họ luôn có thể liên hệ với người gửi thông qua một phương thức phụ như tin nhắn văn bản hoặc cuộc gọi điện thoại để xác minh người gửi muốn gửi email", ông đề xuất.
Tuy nhiên, trong cuộc tấn công chuyển tiếp SMTP được mô tả bởi Avanan, tin tưởng một email bằng cách chỉ xem địa chỉ email của người gửi là không đủ vì thư dường như đến từ một địa chỉ hợp pháp.
"May mắn thay, đó là điều duy nhất phân biệt cuộc tấn công này với các email lừa đảo thông thường", Clements chỉ ra. Email gian lận sẽ vẫn có các dấu hiệu lừa đảo, đó là những gì mọi người nên tìm kiếm.
Ví dụ: Clements nói rằng tin nhắn có thể chứa một yêu cầu bất thường, đặc biệt nếu nó được chuyển đi như một vấn đề khẩn cấp. Nó cũng sẽ có một số lỗi chính tả và các lỗi ngữ pháp khác. Một lá cờ đỏ khác sẽ là các liên kết trong email không đi đến trang web thông thường của tổ chức người gửi.
"Khi nghi ngờ và hầu như bạn luôn phải nghi ngờ, [mọi người] nên luôn sử dụng các đường dẫn đáng tin cậy, chẳng hạn như truy cập trực tiếp vào trang web của công ty hoặc gọi đến số hỗ trợ được liệt kê ở đó để xác minh, thay vì nhấp vào liên kết hoặc liên hệ với các số điện thoại hoặc email được liệt kê trong tin nhắn đáng ngờ ", Chris khuyến cáo.
