Clé à emporter
- Les chercheurs en cybersécurité ont remarqué une augmentation des e-mails de phishing provenant d'adresses e-mail légitimes.
- Ils prétendent que ces faux messages profitent d'une faille dans un service Google populaire et des mesures de sécurité laxistes de la part des marques usurpées.
- Surveillez les signes révélateurs d'hameçonnage, même si l'e-mail semble provenir d'un contact légitime, suggérez des experts.
Ce n'est pas parce que cet e-mail porte le bon nom et la bonne adresse e-mail qu'il est légitime.
Selon les détectives de la cybersécurité d'Avanan, les acteurs de l'hameçonnage ont trouvé un moyen d'abuser du service de relais SMTP de Google, qui leur permet d'usurper n'importe quelle adresse Gmail, y compris celles des marques populaires. La nouvelle stratégie d'attaque confère une légitimité à l'e-mail frauduleux, en le laissant tromper non seulement le destinataire, mais également les mécanismes de sécurité des e-mails automatisés.
"Les auteurs de menaces sont toujours à la recherche du prochain vecteur d'attaque disponible et trouvent de manière fiable des moyens créatifs de contourner les contrôles de sécurité tels que le filtrage des spams", a déclaré Chris Clements, vice-président de l'architecture des solutions chez Cerberus Sentinel, à Lifewire par e-mail. "Comme l'indique la recherche, cette attaque a utilisé le service de relais SMTP de Google, mais il y a eu une augmentation récente du nombre d'attaquants exploitant des sources" fiables "."
Ne faites pas confiance à vos yeux
Google propose un service de relais SMTP utilisé par les utilisateurs de Gmail et de Google Workspace pour acheminer les e-mails sortants. La faille, selon Avanan, a permis aux hameçonneurs d'envoyer des e-mails malveillants en se faisant passer pour n'importe quelle adresse e-mail Gmail et Google Workspace. Pendant deux semaines en avril 2022, Avanan a remarqué près de 30 000 faux e-mails de ce type.
Dans un échange d'e-mails avec Lifewire, Brian Kime, vice-président, Intelligence Strategy and Advisory chez ZeroFox, a partagé que les entreprises ont accès à plusieurs mécanismes, notamment DMARC, Sender Policy Framework (SPF) et DomainKeys Identified Mail (DKIM), qui aident essentiellement les serveurs de messagerie de réception à rejeter les e-mails usurpés et même à signaler l'activité malveillante à la marque dont l'identité a été usurpée.
En cas de doute, et vous devriez presque toujours être dans le doute, [les gens] devraient toujours utiliser des chemins de confiance… au lieu de cliquer sur des liens…
"La confiance est énorme pour les marques. Si énorme que les RSSI sont de plus en plus chargés de diriger ou d'aider les efforts de confiance d'une marque", a partagé Kime.
Cependant, James McQuiggan, défenseur de la sensibilisation à la sécurité chez KnowBe4, a déclaré à Lifewire par e-mail que ces mécanismes ne sont pas aussi largement utilisés qu'ils le devraient et que des campagnes malveillantes telles que celle signalée par Avanan profitent d'un tel laxisme. Dans leur article, Avanan a souligné Netflix, qui utilisait DMARC et n'était pas usurpé, tandis que Trello, qui n'utilisait pas DMARC, l'était.
En cas de doute
Clements a ajouté que si les recherches d'Avanan montrent que les attaquants ont exploité le service de relais SMTP de Google, des attaques similaires incluent la compromission des systèmes de messagerie d'une victime initiale, puis son utilisation pour d'autres attaques de phishing sur l'ensemble de sa liste de contacts.
C'est pourquoi il a suggéré aux personnes cherchant à se protéger des attaques de phishing d'employer plusieurs stratégies défensives.
Pour commencer, il y a l'attaque d'usurpation de nom de domaine, où les cybercriminels utilisent diverses techniques pour masquer leur adresse e-mail avec le nom d'une personne que la cible peut connaître, comme un membre de la famille ou un supérieur du lieu de travail, en s'attendant à ce qu'elle n'y aille pas hors de leur chemin pour s'assurer que l'e-mail provient de l'adresse e-mail déguisée, a partagé McQuiggan.
"Les gens ne devraient pas accepter aveuglément le nom dans le champ 'De'", a averti McQuiggan, ajoutant qu'ils devraient au moins aller derrière le nom d'affichage et vérifier l'adresse e-mail."S'ils ne sont pas sûrs, ils peuvent toujours contacter l'expéditeur via une méthode secondaire comme un SMS ou un appel téléphonique pour vérifier l'expéditeur censé envoyer l'e-mail", a-t-il suggéré.
Cependant, dans l'attaque par relais SMTP décrite par Avanan, faire confiance à un e-mail en regardant uniquement l'adresse e-mail de l'expéditeur n'est pas suffisant car le message semblera provenir d'une adresse légitime.
"Heureusement, c'est la seule chose qui différencie cette attaque des e-mails de phishing normaux", a souligné Clements. L'e-mail frauduleux contiendra toujours les signes révélateurs d'un hameçonnage, ce que les gens devraient rechercher.
Par exemple, Clements a déclaré que le message pouvait contenir une demande inhabituelle, surtout si elle était transmise de manière urgente. Il aurait également plusieurs fautes de frappe et autres erreurs grammaticales. Un autre drapeau rouge serait des liens dans l'e-mail qui ne vont pas vers le site Web habituel de l'organisation de l'expéditeur.
"En cas de doute, et vous devriez presque toujours être dans le doute, [les gens] doivent toujours utiliser des chemins de confiance tels que se rendre directement sur le site Web de l'entreprise ou appeler le numéro d'assistance qui y est indiqué pour vérifier, au lieu de cliquer sur des liens ou contacter les numéros de téléphone ou les e-mails indiqués dans le message suspect », a conseillé Chris.