Önemli Bilgiler
- Siber güvenlik araştırmacıları, meşru e-posta adreslerinden gelen kimlik avı e-postalarında bir artış fark ettiler.
- Bu sahte mesajların, popüler bir Google hizmetindeki bir kusurdan ve kimliğine bürünülmüş markaların aldığı gevşek güvenlik önlemlerinden yararlandığını iddia ediyorlar.
- E-posta meşru bir kişiden geliyor gibi görünse bile, kimlik avının açık belirtilerine karşı dikkatli olun, uzmanlara önerin.
Sırf bu e-postanın doğru ada ve doğru bir e-posta adresine sahip olması yasal olduğu anlamına gelmez.
Avanan'daki siber güvenlik dedektiflerine göre, kimlik avı aktörleri, Google'ın popüler markaların adresleri de dahil olmak üzere herhangi bir Gmail adresini yanıltmalarına olanak tanıyan SMTP geçiş hizmetini kötüye kullanmanın bir yolunu buldu. Yeni saldırı stratejisi, sahte e-postaya meşruiyet kazandırarak yalnızca alıcıyı değil, aynı zamanda otomatik e-posta güvenlik mekanizmalarını da kandırmasına izin verir.
Cerberus Sentinel'de Çözüm Mimarisi Başkan Yardımcısı Chris Clements, Lifewire'a e-posta yoluyla "Tehdit aktörleri her zaman bir sonraki uygun saldırı vektörünü arar ve spam filtreleme gibi güvenlik kontrollerini atlamak için güvenilir bir şekilde yaratıcı yollar bulur" dedi. "Araştırmanın belirttiği gibi, bu saldırı Google SMTP geçiş hizmetini kullandı, ancak 'güvenilir' kaynaklardan yararlanan saldırganlarda son zamanlarda bir artış oldu."
Gözlerinize Güvenmeyin
Google, Gmail ve Google Workspace kullanıcıları tarafından giden e-postaları yönlendirmek için kullanılan bir SMTP geçiş hizmeti sunar. Avanan'a göre kusur, kimlik avcılarının herhangi bir Gmail ve Google Workspace e-posta adresini taklit ederek kötü niyetli e-postalar göndermesini sağladı. Nisan 2022'de iki hafta boyunca Avanan, bu tür yaklaşık 30.000 sahte e-postayı fark etti.
Lifewire ile bir e-posta alışverişinde, ZeroFox'ta İstihbarat Stratejisi ve Danışmanlığı Başkan Yardımcısı Brian Kime, işletmelerin DMARC, Sender Policy Framework (SPF) ve DomainKeys Identified Mail (DKIM) dahil olmak üzere çeşitli mekanizmalara erişimi olduğunu paylaştı., e-posta sunucularının sahte e-postaları reddetmesine ve hatta kötü niyetli etkinliği kimliğine bürünülen markaya geri bildirmesine yardımcı olur.
Şüpheye düştüğünüzde ve neredeyse her zaman şüphede kalmalısınız, [insanlar] her zaman güvenilir yolları kullanmalıdır… bağlantıları tıklamak yerine…
"Güven, markalar için çok büyük. O kadar büyük ki, CISO'ların giderek artan bir şekilde bir markanın güven çabalarına liderlik etme veya yardım etme görevi üstleniyor" diye paylaştı Kime.
Ancak, KnowBe4'te güvenlik bilinci savunucusu James McQuiggan, Lifewire'a e-posta yoluyla bu mekanizmaların olması gerektiği kadar yaygın kullanılmadığını ve Avanan tarafından bildirilenler gibi kötü niyetli kampanyaların bu tür gevşeklikten yararlandığını söyledi. Avanan, gönderilerinde DMARC kullanan ve sahtekarlık yapılmayan Netflix'e, DMARC kullanmayan Trello ise sahtekarlığa işaret etti.
Şüphedeyken
Clements, Avanan araştırmasının saldırganların Google SMTP geçiş hizmetinden yararlandığını göstermesine rağmen, benzer saldırıların ilk kurbanın e-posta sistemlerinden ödün vermeyi ve ardından bunu tüm kişi listelerinde daha fazla kimlik avı saldırıları için kullanmayı içerdiğini ekledi.
Bu nedenle kimlik avı saldırılarından korunmak isteyen kişilerin birden fazla savunma stratejisi kullanmasını önerdi.
Yeni başlayanlar için, siber suçluların e-posta adreslerini hedefin tanıdığı birinin adıyla, örneğin bir aile üyesi veya işyerinden bir üst düzey yöneticinin gitmemesini umarak gizlemek için çeşitli teknikler kullandığı alan adı sahtekarlığı saldırısı var. McQuiggan, e-postanın gizlenmiş e-posta adresinden geldiğinden emin olmak için yola çıktıklarını paylaştı.
"İnsanlar 'Kimden' alanındaki adı körü körüne kabul etmemelidir," diye uyardı McQuiggan, en azından görünen adın arkasına geçmeleri ve e-posta adresini doğrulamaları gerektiğini de sözlerine ekledi."Emin değillerse, gönderenin e-postayı göndermek istediğini doğrulamak için her zaman kısa mesaj veya telefon görüşmesi gibi ikincil bir yöntemle gönderene ulaşabilirler" dedi.
Ancak, Avanan'ın tarif ettiği SMTP geçiş saldırısında, bir e-postaya sadece gönderenin e-posta adresine bakarak güvenmek, mesaj meşru bir adresten geliyormuş gibi görüneceğinden yeterli değildir.
"Neyse ki, bu saldırıyı normal kimlik avı e-postalarından ayıran tek şey bu," diye işaret etti Clements. Dolandırıcılık amaçlı e-postada yine de, insanların araması gereken kimlik avının açıklayıcı belirtileri olacaktır.
Örneğin, Clements, özellikle acil bir konu olarak iletilmişse, mesajın olağandışı bir istek içerebileceğini söyledi. Ayrıca birkaç yazım hatası ve başka dilbilgisi hataları da olurdu. E-postada gönderen kuruluşun normal web sitesine gitmeyen bağlantılar başka bir tehlike işareti olabilir.
"Şüpheye düştüğünüzde ve neredeyse her zaman şüphede kalmalısınız, [insanlar] her zaman bağlantıları veya Şüpheli mesajda listelenen telefon numaraları veya e-postalarla iletişim kurmak," diye tavsiyede bulundu Chris.
