Kyberzločinci zneužívají službu Google SMTP relay k odesílání podvodných e-mailů
Zpět na blogAktéři phishingu zneužívají službu SMTP relay od Googlu k obcházení produktů pro zabezpečení elektronické pošty a úspěšnému doručování škodlivých e-mailů cílovým uživatelům.
Podle zprávy společnosti Avanan, která se zabývá zabezpečením elektronické pošty, došlo od dubna 2022 k náhlému nárůstu počtu aktérů hrozeb zneužívajících službu SMTP relay od Googlu. Společnost zjistila, že v prvních dvou týdnech dubna bylo touto metodou distribuováno nejméně 30 000 e-mailů.
Společnost Google nabízí službu SMTP (Simple Mail Transfer Protocol) relay, kterou mohou uživatelé Gmailu a Google Workspace používat ke směrování odchozích e-mailů. Podniky tuto službu využívají z různých důvodů, od toho, že nemusí spravovat externí poštovní server, až po to, že ji používají pro marketingové e-maily, aby jejich poštovní server nebyl přidán na seznam blokovaných.
Společnost Avanan uvedla, že aktéři hrozeb mohou využívat službu SMTP relay od Googlu k podvržení jiných uživatelů služby Gmail, aniž by byli odhaleni, pokud tyto domény nemají nakonfigurovanou zásadu DMARC se směrnicí „reject“. Protokol DMARC (Domain-based Message Authentication, Reporting & Conformance) je určen pro ověřování e-mailů umožňující vlastníkům domén určit, co se má stát, pokud e-mail podvrhne jejich doménu.
Za tímto účelem vlastníci domén vytvoří speciální záznam DMARC DNS, který obsahuje pokyn, jenž poštovnímu serveru říká, co má dělat. Tyto směrnice jsou „none“ (s podvrženým e-mailem nic nedělat), „quarantine“ (umístit e-mail do složky spamu) nebo „reject“ (e-mail vůbec nepřijímat).
Nové phishingové kampaně využívají server SMTP „smtp-relay.gmail.com“, který je důvěryhodným serverem, a proto jej e-mailové brány a služby filtrování spamu běžně umisťují na seznamy povolených adres.
Společnost Avanan například zachytila e-mail, který se tváří, jako by pocházel z webu Trello.com, ale ve skutečnosti je z webu jigokar.com a prošel přes službu Google relay. Jak již bylo uvedeno, tyto útoky fungují pouze v případě, že vydávaný subjekt má nastavenou politiku DMARC na hodnotu „none“, což není tak neobvyklé. Například dell.com, wikipedia.org, yandex.ru, pornhub.com, bit.ly a live.com mají zásady DMARC nastaveny na „none“.
Nastavení přísných zásad DMARC je doporučeným bezpečnostním postupem, protože pomáhá zabránit aktérům hrozeb v podvržení domén. V případě společnosti Trello byla politika DMARC vypnuta z důvodu používání jiných bezpečnostních nástrojů, což umožnilo vydávání se za doménu.
E-maily pravděpodobně obcházejí detekci spamu, protože všichni uživatelé služby Gmail, kteří používají službu SMTP relay, zžejmě nastavili záznamy SPF, které zařazují službu SMTP relay společnosti Google na seznam důvěryhodných odesílatelů. Když útočník podvrhne doménu uživatele služby, projde záznamem SPF, a protože DMARC není nastaven na „reject“, bude úspěšně doručen do schránky cílového uživatele.
Ačkoli tito aktéři hrozeb zneužívají přenosovou službu společnosti Google, podle společnosti Avanan je stejnému typu zneužití náchylná jakákoli jiná přenosová služba. Společnost Avanan uvedla, že toto zneužití nahlásila týmu služby Gmail 23. dubna 2022. Google se pro Bleeping Computer vyjádřil, že zjištění společnosti Avanan potvrzují, proč společnost uživatelům v celém ekosystému doporučuje používat protokol DMARC, kterým se lze ochránit před tímto způsobem útoku, jenž je v tomto odvětví dobře známým problémem.
Zdroj: Bleeping Computer
5. 5. 2022