Es wurde ein neuer Phishing-Angriff erkannt, der den SMTP-Relay-Dienst von Google nutzt Phishing E-Mails an Benutzer. Der Angriff wurde von Sicherheitsforschern von Avanan beobachtet.
Missbrauch des SMTP-Dienstes von Google
Was ist SMTP? Diese Art von Service hilft Unternehmen, Marketingbotschaften an große Datenbanken von Benutzern zu senden, ohne auf eine Blockliste gesetzt zu werden, Dadurch wird sichergestellt, dass die Nachrichten zugestellt werden. Gmail, wie viele andere Organisationen, bietet diesen Service an, Dadurch können ausgehende Nicht-Gmail-Nachrichten fehlerfrei über Google gesendet werden. Jedoch, Es stellt sich heraus, dass der Dienst Mängel enthält.
„In Gmail, Jeder Gmail-Mandant kann damit jeden anderen Gmail-Mandanten fälschen. Das bedeutet, dass ein Hacker den Dienst nutzen kann, um legitime Marken zu fälschen und Phishing- und Malware-Kampagnen zu versenden. Wenn der Sicherheitsdienst avanan.com im Posteingang sieht, und es ist eine echte IP-Adresse von der IP von Gmail, es beginnt legitimer auszusehen,“, erklärt Avanan.
Was ist bei diesem speziellen Angriff passiert??
Angreifer missbrauchten den Dienst, um gefälschte E-Mails zu versenden, die sich als verschiedene Marken ausgaben. Der Schlüssel zum Angriff ist die Verwendung von smtp-relay.gmail.com als SMTP-Dienst, wobei die E-Mail über eine Domäne gesendet wird, wird aber von venmo.com geliefert. Das Endziel des Angriffs ist, wie immer, Benutzer dazu verleiten, einen schädlichen Link zu öffnen oder eine schädliche Datei herunterzuladen, um Benutzeranmeldeinformationen zu stehlen.
Es sollte beachtet werden, dass der Angriff nur dann erfolgreich ist, wenn die DMARC-Richtlinie der imitierten Marke auf „Keine“ gesetzt ist. DMARC, oder „Domänenbasierte Nachrichtenauthentifizierung, Berichterstattung & Konformität“, ist eine E-Mail-Authentifizierung, Politik, und Meldeprotokoll. Dies liegt daran, dass die Systeme von Google eine explizite Diskrepanz in der E-Mail anhand von Headern erkennen, wenn eine verfügbar ist.
Beispielsweise, wenn phisher.com eine Nachricht von google.com sendet, Es gibt einen Indikator für eine solche Diskrepanz, den nachgelagerte E-Mail-Systeme erkennen können. Die meisten Unternehmen haben eine DMARC=Ablehnungsrichtlinie," die Forscher erklärt.
Abschließend, Es sollte beachtet werden, dass jedes SMTP-Relay für diese Art von Angriffen anfällig sein kann. Die Forscher beobachten „eine massive Zunahme dieser Angriffe,” entspricht mehr als 27,000 Phishing-E-Mails in nur zwei Wochen.
Im Mai 2021, Phishing-Betreiber wurden erwischt Missbrauch von Cloud-Collaboration-Tools (meist im Besitz von Microsoft und Google), wie Büro 365, Azurblau, Microsoft Onedrive, Sharepoint, G-Suite, und Firebase.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: