Et nyt phishing-angreb, der udnytter Googles SMTP-relætjeneste, er blevet opdaget, der leverer phishing e-mails til brugerne. Angrebet er blevet observeret af Avanans sikkerhedsforskere.
Googles SMTP-tjeneste misbrugt
Hvad er SMTP? Denne type service hjælper virksomheder med at sende marketingbeskeder til store databaser af brugere uden at blive blokeret, dermed sikre, at beskederne bliver leveret. Gmail, ligesom mange andre organisationer, tilbyder denne service, gør det muligt at sende udgående ikke-Gmail-meddelelser fejlfrit gennem Google. Men, det viser sig, at tjenesten indeholder fejl.
"I Gmail, enhver Gmail-lejer kan bruge den til at forfalske enhver anden Gmail-lejer. Det betyder, at en hacker kan bruge tjenesten til nemt at forfalske legitime mærker og udsende phishing- og malware-kampagner. Når sikkerhedstjenesten ser avanan.com komme i indbakken, og det er en rigtig IP-adresse fra Gmails IP, det begynder at se mere legitimt ud,” forklarer Avanan.
Hvad skete der i dette specifikke angreb?
Angribere misbrugte tjenesten til at sende falske e-mails, der efterlignede forskellige mærker. Nøglen til angrebet er at bruge smtp-relay.gmail.com som SMTP-tjenesten, hvor e-mailen sendes gennem ét domæne, men leveres fra venmo.com. Slutmålet for angrebet er, som altid, narre brugere til at åbne et ondsindet link eller downloade en ondsindet fil for at stjæle brugeroplysninger.
Det skal bemærkes, at angrebet kun vil lykkes, hvis det efterlignede brand har sin DMARC-politik sat til ingen. DMARC, eller "Domænebaseret meddelelsesgodkendelse, Indberetning & Overensstemmelse”, er en e-mail-godkendelse, politik, og rapporteringsprotokol. Dette skyldes, at Googles systemer vil identificere en eksplicit uoverensstemmelse på e-mailen fra overskrifter, når en er tilgængelig.
For eksempel, hvis phisher.com sender en besked fra google.com, der vil være en indikator for en sådan uoverensstemmelse for downstream-e-mail-systemer at se. De fleste virksomheder vil have en DMARC=afvisningspolitik,”forskerne forklarede.
Afslutningsvis, det skal bemærkes, at ethvert SMTP-relæ kan være tilbøjeligt til denne type angreb. Forskerne har observeret "en massiv stigning i disse angreb,” svarende til mere end 27,000 phishing-e-mails på kun to uger.
I maj 2021, phishing-operatører blev fanget misbruger cloud-samarbejdsværktøjer (hovedsagelig tilhører Microsoft og Google), såsom Office 365, Azure, OneDrive, SharePoint, G-Suite, og Firebase.