0
0
Os phishers estão explorando uma falha no serviço de relé SMTP do Google para enviar e-mails maliciosos falsificando marcas populares. O pesquisador da Avanan Jeremy Fuchs diz que, a partir de abril de 2022, eles viram um aumento maciço desses ataques de relé SMTP na natureza, à medida que atores de ameaças usam esse serviço para falsificar outros inquilinos do Gmail.
Exploração de relé SMTP aproveita a não aplicação do DMARC
O serviço de relé SMTP do Google é usado pelas organizações para coisas como enviar mensagens promocionais para um grande número de usuários sem o risco de seu servidor de e-mail ser bloqueado.
“Muitas organizações oferecem esse serviço. O Gmail também faz isso, com a capacidade de direcionar mensagens não-Gmail através do Google”, explicou Fuchs.
“No entanto, esses serviços de relé têm uma falha. Dentro do Gmail, qualquer inquilino do Gmail pode usá-lo para falsificar qualquer outro inquilino do Gmail. Isso significa que um hacker pode usar o serviço para falsificar facilmente marcas legítimas e enviar campanhas de phishing e malware. Quando o serviço de segurança vê avanan.com entrando na caixa de entrada, e é um endereço IP real do IP do Gmail, ele começa a parecer mais legítimo.”
Assim, as soluções de segurança de e-mail são ignoradas – como os servidores de relé SMTP do Gmail são geralmente confiáveis – e os destinatários veem um endereço de e-mail de aparência legítima no campo “From:”. Somente verificando as mensagens, os usuários poderão notar que algo está desligado.
Fuchs observa que essa técnica de personificação da marca só funcionará se a empresa/empresa de marca personificada não tiver habilitado sua política de rejeição DMARC.
DMARC é um padrão de autenticação baseado em DNS. Implementá-lo protege as organizações contra ataques de representação, impedindo que e-mails maliciosos e falsificados atinjam alvos.
Qualquer phisher – de fato, qualquer pessoa que use a internet – pode verificar se a política de rejeição do DMARC foi habilitada para um domínio específico, usando ferramentas como o MXToolbox. Fuchs observou que, por exemplo, Trello e Venmo não, enquanto a Netflix tem.
Corrigindo o problema e evitando o perigo
Fuchs diz que notificou o Google sobre como os phishers estavam usando seu serviço de relé SMTP em 23 de abril de 2022.
“O Google observou que exibirá indicadores mostrando a discrepância entre os dois remetentes, para ajudar o usuário e os sistemas de segurança a jusante”, disse ele ao Help Net Security.
Além disso, ele observa, qualquer relé SMTP lá fora pode ser vulnerável a este tipo de ataque.
A resposta abrangente para este problema de segurança conhecido é que as empresas usem o protocolo DMARC – como o Google aconselha.
Mas até que isso se torne a norma, os destinatários são aconselhados a verificar os cabeçalhos de mensagens de e-mail não solicitadas e abster-se de abrir anexos ou clicar em links nessas mensagens se eles não são capazes de verificar se eles são maliciosos ou não.
ATUALIZAÇÃO (3 de maio de 2022, 11:05 a.m. ET):
“Temos proteções incorporadas para parar esse tipo de ataque. Esta pesquisa fala com o motivo pelo qual recomendamos que os usuários em todo o ecossistema usem o protocolo DMARC (Autenticação de Mensagens, Relatórios & Conformidades) baseado em domínio. Isso se defenderá contra esse método de ataque, que é um problema conhecido do setor”, disse um porta-voz do Google ao Help Net Security.
FONTE: HELPNET SECURITY