Conclusiones clave
- Los investigadores de ciberseguridad han notado un aumento en los correos electrónicos de phishing de direcciones de correo electrónico legítimas.
- Afirman que estos mensajes falsos se aprovechan de una falla en un popular servicio de Google y de las medidas de seguridad laxas de las marcas suplantadas.
- Esté atento a las señales reveladoras de phishing, incluso cuando el correo electrónico parezca ser de un contacto legítimo, sugiera expertos.
El hecho de que ese correo electrónico tenga el nombre y la dirección de correo electrónico correctos no significa que sea legítimo.
Según los detectives de seguridad cibernética de Avanan, los actores de phishing han encontrado una manera de abusar del servicio de retransmisión SMTP de Google, que les permite falsificar cualquier dirección de Gmail, incluidas las de marcas populares. La novedosa estrategia de ataque otorga legitimidad al correo electrónico fraudulento, permitiéndole engañar no solo al destinatario sino también a los mecanismos automatizados de seguridad del correo electrónico.
"Los actores de amenazas siempre están buscando el siguiente vector de ataque disponible y encuentran formas creativas de eludir los controles de seguridad como el filtrado de correo no deseado", dijo Chris Clements, vicepresidente de arquitectura de soluciones de Cerberus Sentinel, a Lifewire por correo electrónico. "Como indica la investigación, este ataque utilizó el servicio de retransmisión SMTP de Google, pero ha habido un aumento reciente en los atacantes que aprovechan fuentes 'confiables'".
No confíes en tus ojos
Google ofrece un servicio de retransmisión SMTP que utilizan los usuarios de Gmail y Google Workspace para enrutar los correos electrónicos salientes. La falla, según Avanan, permitió a los phishers enviar correos electrónicos maliciosos haciéndose pasar por cualquier dirección de correo electrónico de Gmail y Google Workspace. Durante dos semanas en abril de 2022, Avanan detectó casi 30 000 correos electrónicos falsos de este tipo.
En un intercambio de correos electrónicos con Lifewire, Brian Kime, vicepresidente de estrategia y asesoramiento de inteligencia de ZeroFox, compartió que las empresas tienen acceso a varios mecanismos, incluidos DMARC, marco de políticas de remitente (SPF) y correo identificado con claves de dominio (DKIM), que esencialmente ayuda a los servidores de correo electrónico a rechazar los correos electrónicos falsificados e incluso reportar la actividad maliciosa a la marca suplantada.
En caso de duda, y casi siempre deberías tenerla, [las personas] siempre deben usar rutas confiables… en lugar de hacer clic en enlaces…
"La confianza es enorme para las marcas. Tan grande que los CISO tienen cada vez más la tarea de liderar o ayudar en los esfuerzos de confianza de una marca", compartió Kime.
Sin embargo, James McQuiggan, defensor de la concientización sobre la seguridad en KnowBe4, le dijo a Lifewire por correo electrónico que estos mecanismos no se usan tan ampliamente como deberían, y las campañas maliciosas como la reportada por Avanan se aprovechan de esa laxitud. En su publicación, Avanan señaló a Netflix, que usó DMARC y no fue falsificado, mientras que Trello, que no usa DMARC, sí lo fue.
En caso de duda
Clements agregó que, si bien la investigación de Avanan muestra que los atacantes explotaron el servicio de retransmisión SMTP de Google, ataques similares incluyen comprometer los sistemas de correo electrónico de una víctima inicial y luego usarlo para más ataques de phishing en toda su lista de contactos.
Por eso sugirió que las personas que buscan mantenerse a salvo de los ataques de phishing deben emplear múltiples estrategias defensivas.
Para empezar, está el ataque de suplantación de nombre de dominio, en el que los ciberdelincuentes utilizan varias técnicas para ocultar su dirección de correo electrónico con el nombre de alguien que el objetivo puede conocer, como un familiar o superior en el lugar de trabajo, esperando que no vaya. fuera de su camino para asegurarse de que el correo electrónico provenga de la dirección de correo electrónico disfrazada, compartió McQuiggan.
"La gente no debería aceptar ciegamente el nombre en el campo 'De'", advirtió McQuiggan, y agregó que al menos deberían ir detrás del nombre para mostrar y verificar la dirección de correo electrónico."Si no están seguros, siempre pueden comunicarse con el remitente a través de un método secundario, como un mensaje de texto o una llamada telefónica, para verificar si el remitente quería enviar el correo electrónico", sugirió.
Sin embargo, en el ataque de retransmisión SMTP descrito por Avanan, confiar en un correo electrónico solo con mirar la dirección de correo electrónico del remitente no es suficiente, ya que el mensaje parecerá provenir de una dirección legítima.
"Afortunadamente, eso es lo único que diferencia este ataque de los correos electrónicos de phishing normales", señaló Clements. El correo electrónico fraudulento aún tendrá los signos reveladores de phishing, que es lo que la gente debe buscar.
Por ejemplo, Clements dijo que el mensaje podría contener una solicitud inusual, especialmente si se transmite como un asunto urgente. También tendría varios errores tipográficos y otros errores gramaticales. Otra bandera roja serían los enlaces en el correo electrónico que no van al sitio web habitual de la organización del remitente.
"En caso de duda, y casi siempre debería tenerla, [las personas] siempre deben usar rutas confiables, como ir directamente al sitio web de la empresa o llamar al número de soporte que aparece allí para verificar, en lugar de hacer clic en enlaces o contactar a los números de teléfono o correos electrónicos que figuran en el mensaje sospechoso ", aconsejó Chris.