Especialistas em segurança estão alertando Gmail usuários sobre uma nova onda de mensagens fraudulentas que são fáceis de cair. A ameaça foi descoberta pela empresa de segurança de e-mail Avanan, que detectou quase 30.000 mensagens fraudulentas enviadas para contas do Gmail em apenas duas semanas em abril. No entanto, há uma coisa especialmente desonesta sobre esse novo golpe que torna mais fácil se apaixonar.
Normalmente, com golpes de e-mail, há uma série de bandeiras vermelhas que devem enviar imediatamente o alarme.
Um dos sinais mais óbvios de que uma mensagem que você recebeu não é o que parece é que o endereço de e-mail que o remetente está usando claramente não está vinculado à organização da qual você supostamente recebeu um e-mail.
Se você receber uma mensagem supostamente de uma organização de alto perfil, mas o endereço do remetente for uma conta do Gmail ou do Hotmail, isso é um sinal claro de que a mensagem é falsa.
Mas, como Avanan percebeu, os golpistas descobriram uma maneira de enganar o sistema para exibir um e-mail como sendo enviado de um endereço legítimo.
Os maus atores conseguiram fazer isso abusando do serviço de retransmissão SMTP (Simple Mail Transfer Protocol) do Google. Este é um serviço que as organizações usam para enviar e-mails em massa, por exemplo, mensagens de marketing para um vasto banco de dados de usuários.
No entanto, como Avanan observou em sua pesquisa onlineos maus atores encontraram uma maneira de explorar isso para enviar e-mails que exibem um endereço de e-mail com aparência oficial na seção ‘de’ de uma mensagem, mas na verdade estão sendo enviados de um endereço de e-mail diferente.
Não apenas isso, mas os truques que os hackers implantam significam que os e-mails perigosos conseguem escapar dos sistemas de detecção de spam.
Exemplos de empresas de alto perfil que a Avanan viu sendo falsificadas incluem o Venmo (um aplicativo de transferência de dinheiro com sede nos EUA) e o provedor de soluções de espaço de trabalho online Trello.
Descrevendo como a ameaça funciona, Avanan disse: “Um serviço de redirecionamento SMTP pode ser um serviço valioso para organizações que gostam de enviar e-mails em massa. Muitas organizações oferecem esse serviço. O Gmail também, com a capacidade de rotear mensagens que não são do Gmail através do Google.
“No entanto, esses serviços de retransmissão têm uma falha. No Gmail, qualquer locatário do Gmail pode usá-lo para falsificar qualquer outro locatário do Gmail. Isso significa que um hacker pode usar o serviço para falsificar facilmente marcas legítimas e enviar campanhas de phishing e malware. Quando o serviço de segurança vê avanan.com entrando na caixa de entrada, e é um endereço IP real do IP do Gmail, começa a parecer mais legítimo.
“A partir de abril de 2022, os pesquisadores da Avanan observaram um aumento maciço desses ataques SMTP Relay Service Exploit, já que os agentes de ameaças usam esse serviço para falsificar qualquer outro locatário do Gmail e começam a enviar e-mails de phishing que parecem legítimos. duas semanas, Avanan viu quase 30.000 desses e-mails.”
Avanan explicou que esse ataque pode ser realizado quando a organização que um mau ator está tentando representar definiu sua política DMARC como ‘nenhuma’.
DMARC, que significa Domain-based Message Authentication, Reporting & Conformance, é um protocolo de autenticação de e-mail que permite que os proprietários de domínio decidam qual ação tomar quando um e-mail os falsifica. Políticas rígidas de DMARC são recomendadas por especialistas em segurança, pois ajudam a impedir que atores mal-intencionados imitem domínios.
Falando com o Bleeping Computerum porta-voz do Google disse: “Temos proteções integradas para impedir esse tipo de ataque. Esta pesquisa explica por que recomendamos que os usuários de todo o ecossistema usem o protocolo DMARC (Domain-based Message Authentication, Reporting & Conformance). defender contra este método de ataque, que é um problema bem conhecido da indústria.”