Um novo ataque de phishing aproveitando o serviço de redirecionamento SMTP do Google foi detectado entregando phishing e-mails para usuários. O ataque foi observado por pesquisadores de segurança da Avanan.
Serviço SMTP do Google abusado
O que é SMTP? Esse tipo de serviço ajuda as empresas a enviar mensagens de marketing para grandes bancos de dados de usuários sem serem bloqueadas, garantindo assim que as mensagens serão entregues. Gmail, como muitas outras organizações, oferece este serviço, permitindo que mensagens de saída que não sejam do Gmail sejam enviadas sem problemas pelo Google. Contudo, acontece que o serviço contém falhas.
“No Gmail, qualquer locatário do Gmail pode usá-lo para falsificar qualquer outro locatário do Gmail. Isso significa que um hacker pode usar o serviço para falsificar facilmente marcas legítimas e enviar campanhas de phishing e malware. Quando o serviço de segurança vê avanan.com entrando na caixa de entrada, e é um endereço IP real do IP do Gmail, começa a parecer mais legítimo,” Avanan explica.
O que aconteceu neste ataque específico?
Os invasores abusaram do serviço para enviar e-mails falsos representando várias marcas. A chave para o ataque é usar smtp-relay.gmail.com como serviço SMTP, onde o email é enviado através de um domínio, mas é entregue de venmo.com. O objetivo final do ataque é, como sempre, enganar os usuários para que abram um link malicioso ou baixem um arquivo malicioso para roubar as credenciais do usuário.
Deve-se notar que o ataque terá sucesso apenas se a marca personificada tiver sua política DMARC definida como nenhuma. DMARC, ou “Autenticação de mensagem baseada em domínio, Comunicando & Conformidade”, é uma autenticação de e-mail, política, e protocolo de notificação. Isso ocorre porque os sistemas do Google identificarão uma incompatibilidade explícita no e-mail dos cabeçalhos quando um estiver disponível.
Por exemplo, se phisher.com enviar uma mensagem de google.com, haverá um indicador de tal discrepância para sistemas de e-mail downstream para ver. A maioria das empresas terá uma política DMARC=reject," Os pesquisadores explicado.
Em conclusão, deve-se notar que qualquer retransmissor SMTP pode ser propenso a esse tipo de ataque. Os pesquisadores observaram “um aumento maciço desses ataques,” igual a mais de 27,000 e-mails de phishing em apenas duas semanas.
Em maio 2021, operadores de phishing foram pegos abusando das ferramentas de colaboração na nuvem (principalmente pertencentes à Microsoft e Google), como escritório 365, Azure, onedrive, SharePoint, G-Suite, e Firebase.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: