Er is een nieuwe phishing-aanval gedetecteerd die gebruikmaakt van de SMTP-relayservice van Google phishing e-mails aan gebruikers. De aanval is waargenomen door beveiligingsonderzoekers van Avanan.
Google's SMTP-service misbruikt
Wat is SMTP? Dit type service helpt bedrijven om marketingberichten naar grote databases van gebruikers te sturen zonder dat ze op een blokkeerlijst staan, zodat de berichten worden afgeleverd. Gmail, net als veel andere organisaties, biedt deze service, waardoor uitgaande niet-Gmail-berichten probleemloos via Google kunnen worden verzonden. Echter, het blijkt dat de service fouten bevat.
"Binnen Gmail, elke Gmail-tenant kan het gebruiken om een andere Gmail-tenant te spoofen. Dat betekent dat een hacker de service kan gebruiken om gemakkelijk legitieme merken te vervalsen en phishing- en malwarecampagnes te verzenden. Wanneer de veiligheidsdienst avanan.com in de inbox ziet verschijnen, en het is een echt IP-adres van het IP-adres van Gmail, het begint er legitiemer uit te zien," legt Avanan uit.
Wat gebeurde er in deze specifieke aanval??
Aanvallers misbruikten de service om vervalste e-mails te verzenden die zich voordeden als verschillende merken. De sleutel tot de aanval is het gebruik van smtp-relay.gmail.com als de SMTP-service, waar de e-mail via één domein wordt verzonden, maar wordt geleverd door venmo.com. Het einddoel van de aanval is:, zoals gewoonlijk, gebruikers misleiden om een kwaadaardige link te openen of een kwaadaardig bestand te downloaden om gebruikersreferenties te stelen.
Opgemerkt moet worden dat de aanval alleen zal slagen als het geïmiteerde merk zijn DMARC-beleid heeft ingesteld op geen. DMARC, of “Domain-based Message Authentication, Rapportage & Conformiteit”, is een e-mailverificatie, het beleid, en rapportageprotocol. Dit komt omdat de systemen van Google een expliciete mismatch in de e-mail van headers zullen identificeren wanneer er een beschikbaar is.
Bijvoorbeeld, als phisher.com een bericht verzendt vanaf google.com, er zal een indicator van een dergelijke discrepantie zijn voor downstream-e-mailsystemen om te zien. De meeste bedrijven hebben een DMARC=reject-beleid," de onderzoekers toegelicht.
Tenslotte, het moet worden opgemerkt dat elk SMTP-relais vatbaar kan zijn voor dit type aanval. De onderzoekers hebben "een enorme toename van deze aanvallen" waargenomen,” gelijk aan meer dan 27,000 phishing e-mails in slechts twee weken.
In mei 2021, phishing-operators werden gepakt misbruik maken van tools voor samenwerking in de cloud (meestal behorend tot Microsoft en Google), zoals Office 365, Azuur, Een schijf, Deel punt, G-Suite, en Firebase.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: