È stato rilevato un nuovo attacco di phishing che sfrutta il servizio di inoltro SMTP di Google phishing email agli utenti. L'attacco è stato osservato dai ricercatori di sicurezza di Avanan.
Servizio SMTP di Google abusato
Cos'è l'SMTP? Questo tipo di servizio aiuta le aziende a inviare messaggi di marketing a grandi database di utenti senza essere bloccati, assicurando così che i messaggi vengano consegnati. Gmail, come molte altre organizzazioni, offre questo servizio, consentendo l'invio impeccabile dei messaggi in uscita non Gmail tramite Google. Tuttavia, si scopre che il servizio contiene difetti.
“All'interno di Gmail, qualsiasi tenant Gmail può utilizzarlo per falsificare qualsiasi altro tenant Gmail. Ciò significa che un hacker può utilizzare il servizio per falsificare facilmente marchi legittimi e inviare campagne di phishing e malware. Quando il servizio di sicurezza vede avanan.com entrare nella posta in arrivo, ed è un vero indirizzo IP dall'IP di Gmail, inizia a sembrare più legittimo,"Spiega Avanan.
Cosa è successo in questo specifico attacco?
Gli aggressori hanno abusato del servizio per inviare e-mail contraffatte che impersonano vari marchi. La chiave dell'attacco sta usando smtp-relay.gmail.com come servizio SMTP, dove l'e-mail viene inviata attraverso un dominio, ma viene consegnato da venmo.com. L'obiettivo finale dell'attacco è, come sempre, indurre gli utenti ad aprire un collegamento dannoso o scaricare un file dannoso per rubare le credenziali dell'utente.
Va notato che l'attacco avrà esito positivo solo se il marchio impersonato ha la politica DMARC impostata su nessuno. DMARC, o “Autenticazione dei messaggi basata sul dominio, Segnalazione & Conformità”, è un'autenticazione e-mail, politica, e protocollo di segnalazione. Questo perché i sistemi di Google identificheranno una mancata corrispondenza esplicita nell'e-mail dalle intestazioni quando ne è disponibile una.
Per esempio, se phisher.com invia un messaggio da google.com, ci sarà un indicatore di tale discrepanza da vedere per i sistemi di posta elettronica a valle. La maggior parte delle aziende avrà una politica DMARC=rifiuto,”i ricercatori ha spiegato.
Insomma, va notato che qualsiasi inoltro SMTP potrebbe essere soggetto a questo tipo di attacco. I ricercatori hanno osservato “un massiccio aumento di questi attacchi,” pari a più di 27,000 e-mail di phishing in sole due settimane.
A maggio 2021, gli operatori di phishing sono stati catturati abusare degli strumenti di collaborazione cloud (per lo più appartenenti a Microsoft e Google), come Ufficio 365, Azzurro, Una guida, SharePoint, G-Suite, e Firebase.