Key Takeaways
- Peneliti keamanan siber telah melihat peningkatan dalam email phishing dari alamat email yang sah.
- Mereka mengklaim pesan palsu ini memanfaatkan cacat pada layanan Google yang populer dan tindakan keamanan yang lemah oleh merek yang ditiru.
- Waspadai tanda-tanda phishing, meskipun email tampaknya berasal dari kontak yang sah, saran para ahli.
Hanya karena email itu memiliki nama yang benar dan alamat email yang benar tidak berarti itu sah.
Menurut detektif keamanan siber di Avanan, pelaku phishing telah menemukan cara untuk menyalahgunakan layanan relai SMTP Google, yang memungkinkan mereka memalsukan alamat Gmail apa pun, termasuk alamat merek populer. Strategi serangan baru memberikan legitimasi pada email palsu, membiarkannya menipu tidak hanya penerima tetapi juga mekanisme keamanan email otomatis.
"Aktor ancaman selalu mencari vektor serangan berikutnya yang tersedia dan dengan andal menemukan cara kreatif untuk melewati kontrol keamanan seperti penyaringan spam, " Chris Clements, VP Solutions Architecture di Cerberus Sentinel, mengatakan kepada Lifewire melalui email. "Seperti yang dinyatakan oleh penelitian, serangan ini menggunakan layanan relai SMTP Google, tetapi baru-baru ini ada peningkatan penyerang yang memanfaatkan sumber 'tepercaya'."
Jangan Percaya Matamu
Google menawarkan layanan relai SMTP yang digunakan oleh pengguna Gmail dan Google Workspace untuk merutekan email keluar. Cacat tersebut, menurut Avanan, memungkinkan phisher mengirim email berbahaya dengan meniru alamat email Gmail dan Google Workspace. Selama dua minggu di bulan April 2022, Avanan menemukan hampir 30.000 email palsu seperti itu.
Dalam pertukaran email dengan Lifewire, Brian Kime, VP, Intelligence Strategy and Advisory di ZeroFox, berbagi bahwa bisnis memiliki akses ke beberapa mekanisme, termasuk DMARC, Sender Policy Framework (SPF), dan DomainKeys Identified Mail (DKIM), yang pada dasarnya membantu server penerima email menolak email palsu dan bahkan melaporkan aktivitas jahat kembali ke merek yang ditiru.
Jika ragu, dan Anda hampir selalu ragu, [orang] harus selalu menggunakan jalur tepercaya… daripada mengklik tautan…
"Kepercayaan sangat besar bagi merek. Begitu besar sehingga CISO semakin ditugaskan untuk memimpin atau membantu upaya kepercayaan merek," kata Kime.
Namun, James McQuiggan, advokat kesadaran keamanan di KnowBe4, mengatakan kepada Lifewire melalui email bahwa mekanisme ini tidak digunakan secara luas sebagaimana mestinya, dan kampanye jahat seperti yang dilaporkan oleh Avanan memanfaatkan kelemahan tersebut. Dalam postingannya, Avanan menunjuk Netflix yang menggunakan DMARC dan tidak spoof, sedangkan Trello yang tidak menggunakan DMARC adalah.
Saat Ragu
Clements menambahkan bahwa meskipun penelitian Avanan menunjukkan penyerang mengeksploitasi layanan relai SMTP Google, serangan serupa mencakup membahayakan sistem email awal korban dan kemudian menggunakannya untuk serangan phishing lebih lanjut di seluruh daftar kontak mereka.
Inilah sebabnya dia menyarankan orang yang ingin tetap aman dari serangan phishing harus menggunakan beberapa strategi pertahanan.
Sebagai permulaan, ada serangan spoofing nama domain, di mana penjahat dunia maya menggunakan berbagai teknik untuk menyembunyikan alamat email mereka dengan nama seseorang yang mungkin dikenal target, seperti anggota keluarga atau atasan dari tempat kerja, mengharapkan mereka untuk tidak pergi keluar dari jalan mereka untuk memastikan bahwa email tersebut berasal dari alamat email yang disamarkan, kata McQuiggan.
"Orang tidak boleh secara membabi buta menerima nama di bidang 'Dari'," McQuiggan memperingatkan, menambahkan bahwa mereka setidaknya harus pergi ke belakang nama tampilan dan memverifikasi alamat email."Jika mereka tidak yakin, mereka selalu dapat menghubungi pengirim melalui metode sekunder seperti teks atau panggilan telepon untuk memverifikasi pengirim yang dimaksudkan untuk mengirim email," sarannya.
Namun, dalam serangan relai SMTP yang dijelaskan oleh Avanan mempercayai email dengan melihat alamat email pengirim saja tidak cukup karena pesan akan tampak berasal dari alamat yang sah.
"Untungnya, itulah satu-satunya yang membedakan serangan ini dari email phishing biasa," kata Clements. Email penipuan masih akan memiliki tanda-tanda phishing, yang harus dicari orang.
Misalnya, Clements mengatakan bahwa pesan tersebut mungkin berisi permintaan yang tidak biasa, terutama jika disampaikan sebagai hal yang mendesak. Itu juga akan memiliki beberapa kesalahan ketik dan kesalahan tata bahasa lainnya. Bendera merah lainnya adalah tautan di email yang tidak masuk ke situs web biasa organisasi pengirim.
"Jika ragu, dan Anda hampir selalu ragu, [orang] harus selalu menggunakan jalur tepercaya seperti membuka langsung situs web perusahaan atau menghubungi nomor dukungan yang tercantum di sana untuk memverifikasi, alih-alih mengeklik tautan atau menghubungi nomor telepon atau email yang tercantum dalam pesan mencurigakan tersebut," saran Chris.
