Une nouvelle attaque de phishing utilisant le service de relais SMTP de Google a été détectée phishing e-mails aux utilisateurs. L'attaque a été observée par des chercheurs en sécurité d'Avanan.
Abus du service SMTP de Google
Qu'est-ce que SMTP? Ce type de service aide les entreprises à envoyer des messages marketing à de grandes bases de données d'utilisateurs sans être bloquées., garantissant ainsi que les messages seront livrés. Gmail, comme beaucoup d'autres organisations, propose ce service, permettant aux messages sortants non Gmail d'être envoyés sans problème via Google. Cependant, il s'avère que le service contient des failles.
"Dans Gmail, tout locataire Gmail peut l'utiliser pour usurper n'importe quel autre locataire Gmail. Cela signifie qu'un pirate informatique peut utiliser le service pour usurper facilement des marques légitimes et envoyer des campagnes de phishing et de logiciels malveillants.. Quand le service de sécurité voit avanan.com arriver dans la boîte de réception, et c'est une vraie adresse IP de l'IP de Gmail, ça commence à paraître plus légitime,"Avanan explique.
Que s'est-il passé dans cette attaque spécifique?
Les attaquants ont abusé du service pour envoyer des e-mails usurpés se faisant passer pour diverses marques. La clé de l'attaque utilise smtp-relay.gmail.com comme service SMTP, où l'e-mail est envoyé via un domaine, mais est livré à partir de venmo.com. Le but final de l'attaque est, comme toujours, inciter les utilisateurs à ouvrir un lien malveillant ou à télécharger un fichier malveillant pour voler les informations d'identification de l'utilisateur.
Il convient de noter que l'attaque ne réussira que si la marque usurpée a sa politique DMARC définie sur none. DMARC, ou "Authentification de message basée sur le domaine, Rapports & Conformité », est une authentification par e-mail, politique, et protocole de rapport. En effet, les systèmes de Google identifieront une incompatibilité explicite sur l'e-mail à partir des en-têtes lorsqu'il y en aura un de disponible..
Par exemple, si phisher.com envoie un message depuis google.com, il y aura un indicateur d'un tel écart pour que les systèmes de messagerie en aval puissent voir. La plupart des entreprises auront une politique DMARC=reject," les chercheurs expliqué.
En conclusion, il convient de noter que tout relais SMTP pourrait être sujet à ce type d'attaque. Les chercheurs ont observé « une augmentation massive de ces attaques,» équivalant à plus de 27,000 e-mails de phishing en seulement deux semaines.
En mai 2021, des opérateurs de phishing ont été capturés abuser des outils de collaboration cloud (appartenant principalement à Microsoft et Google), comme Bureau 365, bleu azur, onedrive, SharePoint, G-Suite, et Firebase.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: