Asosiy takliflar
- Kiberxavfsizlik boʻyicha tadqiqotchilar qonuniy e-pochta manzillaridan kelgan fishing xatlari koʻpayganini payqashdi.
- Ularning da'volariga ko'ra, bu soxta xabarlar mashhur Google xizmatidagi kamchiliklardan foydalanadi va o'zini o'zi o'ynagan brendlar tomonidan xavfsizlik choralarini yumshatadi.
- E-pochta qonuniy kontaktdan kelganday tuyulsa ham, fishingning aniq belgilarini kuzatib boring.
Ushbu e-pochtada toʻgʻri nom va toʻgʻri e-pochta manzili boʻlganligi uning qonuniy ekanligini anglatmaydi.
Avanan kiberxavfsizlik xizmati xodimlarining soʻzlariga koʻra, fishing aktyorlari har qanday Gmail manzilini, shu jumladan mashhur brendlar manzilini ham soxtalashtirish imkonini beruvchi Google’ning SMTP relay xizmatidan suiisteʼmol qilish yoʻlini topishgan. Yangi hujum strategiyasi firibgar e-pochtaga qonuniylik berib, u nafaqat qabul qiluvchini, balki elektron pochta xavfsizligining avtomatlashtirilgan mexanizmlarini ham aldash imkonini beradi.
"Tahdid ishtirokchilari har doim keyingi mavjud hujum vektorini izlaydilar va spamni filtrlash kabi xavfsizlik nazoratini chetlab o'tishning ishonchli usullarini ishonchli tarzda topadilar", dedi Cerberus Sentinel kompaniyasining yechimlar arxitekturasi bo'yicha vitse-prezidenti Kris Klements Lifewire'ga elektron pochta orqali. “Tadqiqotda qayd etilganidek, bu hujum Google SMTP relay xizmatidan foydalangan, biroq yaqinda “ishonchli” manbalardan foydalanadigan tajovuzkorlar soni koʻpaygan.”
Koʻzlaringga ishonma
Google Gmail va Google Workspace foydalanuvchilari tomonidan chiquvchi xatlarni yoʻn altirish uchun foydalaniladigan SMTP uzatish xizmatini taklif qiladi. Avananning so‘zlariga ko‘ra, bu kamchilik fisherlarga har qanday Gmail va Google Workspace elektron pochta manzillarini o‘zini namoyon qilib, zararli xatlarni yuborish imkonini bergan.2022-yil aprel oyida ikki hafta davomida Avanan 30 000 ga yaqin shunday soxta xatlarni payqadi.
Lifewire bilan elektron pochta almashinuvida ZeroFox razvedka strategiyasi va maslahat boʻlimi boshligʻi Brayan Kime korxonalar DMARC, Sender Policy Framework (SPF) va DomainKeys Identified Mail (DKIM) kabi bir nechta mexanizmlardan foydalanishlari mumkinligini aytdi., bu esa e-pochta serverlarini qabul qilishda soxta e-pochtalarni rad etishga yordam beradi va hatto oʻzini oʻzi oʻzgartirgan brendga zararli faoliyat haqida xabar beradi.
Shubha tug'ilganda va siz deyarli har doim shubhada bo'lsangiz, [odamlar] havolalarni bosish o'rniga har doim ishonchli yo'llardan foydalanishlari kerak…
"Brendlar uchun ishonch juda katta. Shu qadar kattaki, CISOlar tobora koʻproq brendga ishonch boʻyicha sa'y-harakatlarni boshqarish yoki yordam berish vazifasini yuklamoqda", - dedi Kime.
Biroq, KnowBe4’ning xavfsizlik boʻyicha himoyachisi Jeyms MakQuiggan Lifewire’ga elektron pochta orqali ushbu mexanizmlar kerakli darajada keng qoʻllanilmasligini va Avanan tomonidan xabar qilinganidek zararli kampaniyalar bunday noqulaylikdan foydalanishini aytdi. Avanan o‘z postida DMARC’dan foydalangan va soxtalashtirilmagan Netflix’ga ishora qildi, DMARC’dan foydalanmaydigan Trello esa.
Shubhada
Klementsning qoʻshimcha qilishicha, Avanan tadqiqoti tajovuzkorlar Google SMTP relay xizmatidan foydalanganliklarini koʻrsatsa-da, shunga oʻxshash hujumlar qurbonning elektron pochta tizimlarini buzish va undan keyin ularning butun kontaktlar roʻyxatida keyingi fishing hujumlari uchun foydalanishni oʻz ichiga oladi.
Shuning uchun u fishing hujumlaridan omon qolmoqchi boʻlgan odamlarga bir nechta mudofaa strategiyalaridan foydalanishni tavsiya qildi.
Boshlaganlar uchun domen nomini buzish hujumi mavjud boʻlib, bu yerda kiberjinoyatchilar oʻzlarining elektron pochta manzillarini nishonga olishi mumkin boʻlgan oila aʼzosi yoki ish joyidagi yuqori lavozimli shaxs nomi bilan yashirish uchun turli usullardan foydalanadilar va ulardan ketmasliklarini kutadilar. MakQuiggan e-pochta maxfiy elektron pochta manzilidan kelayotganiga ishonch hosil qilish uchun o‘z yo‘lidan chiqib ketdi.
"Odamlar "Kimdan" maydonidagi ismni ko'r-ko'rona qabul qilmasliklari kerak", deb ogohlantirdi MakQuiggan va ular hech bo'lmaganda ko'rsatilgan nomning orqasiga o'tib, elektron pochta manzilini tekshirishlari kerakligini qo'shimcha qildi.“Agar ular ishonchsiz boʻlsalar, joʻnatuvchiga har doim matn yoki telefon qoʻngʻirogʻi kabi ikkilamchi usul orqali bogʻlanib, joʻnatuvchining e-pochtani joʻnatmoqchi ekanligini tekshirishlari mumkin”, dedi u.
Biroq, Avanan tomonidan tasvirlangan SMTP relay hujumida faqat joʻnatuvchining elektron pochta manziliga qarash orqali xatga ishonishning oʻzi yetarli emas, chunki xabar qonuniy manzildan kelganga oʻxshaydi.
"Yaxshiyamki, bu hujumni oddiy fishing elektron pochta xabarlaridan ajratib turadigan yagona narsa", dedi Klements. Firibgar e-pochtada hali ham fishing belgilari mavjud bo‘lib, odamlar bunga e’tibor berishlari kerak.
Masalan, Klements xabarda g'ayrioddiy so'rov bo'lishi mumkinligini aytdi, ayniqsa u favqulodda masala sifatida etkazilgan bo'lsa. Bundan tashqari, bir nechta imlo xatolari va boshqa grammatik xatolar bo'ladi. Yana bir qizil bayroq e-pochtadagi jo‘natuvchi tashkilotning odatiy veb-saytiga o‘tmaydigan havolalar bo‘lishi mumkin.
"Shubha tug'ilganda va siz deyarli har doim shubhangiz bo'lsa, [odamlar] havolalar yoki Shubhali xabarda ko'rsatilgan telefon raqamlari yoki elektron pochta manzillari bilan bog'lanish ", deb maslahat berdi Kris.
