Se detectó un nuevo ataque de phishing que aprovecha el servicio de retransmisión SMTP de Google y entrega phishing correos electrónicos a los usuarios. El ataque ha sido observado por los investigadores de seguridad de Avanan..
Abuso del servicio SMTP de Google
¿Qué es SMTP?? Este tipo de servicio ayuda a las empresas a enviar mensajes de marketing a grandes bases de datos de usuarios sin estar en la lista negra., asegurando así que los mensajes serán entregados. Gmail, como muchas otras organizaciones, ofrece este servicio, permitir que los mensajes salientes que no sean de Gmail se envíen sin problemas a través de Google. Sin embargo, resulta que el servicio si contiene fallas.
“Dentro de Gmail, cualquier inquilino de Gmail puede usarlo para suplantar a cualquier otro inquilino de Gmail. Eso significa que un pirata informático puede usar el servicio para falsificar fácilmente marcas legítimas y enviar campañas de phishing y malware.. Cuando el servicio de seguridad ve avanan.com entrando en la bandeja de entrada, y es una dirección IP real de la IP de Gmail, empieza a parecer más legítimo,” explica Avanan.
Qué sucedió en este ataque específico?
Los atacantes abusaron del servicio para enviar correos electrónicos falsificados haciéndose pasar por varias marcas.. La clave del ataque es utilizar smtp-relay.gmail.com como servicio SMTP., donde el correo electrónico se envía a través de un dominio, pero se entrega desde venmo.com. El objetivo final del ataque es, como siempre, engañar a los usuarios para que abran un enlace malicioso o descarguen un archivo malicioso para robar las credenciales del usuario.
Cabe señalar que el ataque tendrá éxito solo si la marca suplantada tiene su política DMARC establecida en ninguno. DMARC, o “Autenticación de mensajes basada en dominio, Informes & conformidad”, es una autenticación de correo electrónico, política, y protocolo de reporte. Esto se debe a que los sistemas de Google identificarán una discrepancia explícita en el correo electrónico de los encabezados cuando haya uno disponible..
Por ejemplo, si phisher.com envía un mensaje desde google.com, habrá un indicador de tal discrepancia para que los sistemas de correo electrónico posteriores lo vean. La mayoría de las empresas tendrán una política DMARC=reject," los investigadores explicado.
En conclusión, cabe señalar que cualquier relé SMTP podría ser propenso a este tipo de ataque. Los investigadores han observado “un aumento masivo de estos ataques,” igual a más de 27,000 correos electrónicos de phishing en solo dos semanas.
En Mayo 2021, los operadores de phishing fueron atrapados abusar de las herramientas de colaboración en la nube (en su mayoría pertenecientes a Microsoft y Google), como oficina 365, Azur, Un paseo, SharePoint, G-Suite, y Firebase.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: