【轉發漏洞】濫用Google SMTP服務假扮域名提高釣魚攻擊成功率
不少企業可能都有使用 Google SMTP 轉寄功能,例如設定從打印機、應用程式直接發送郵件,又或將它用於發送市場推廣電郵。不過,有黑客亦「善用」這項服務,假扮成其他機構發出釣魚電郵,以繞過電郵防護工具的攔截。企業如不想被假扮,就要做好 DMARC 設定。
由今年 4 月開始,電郵防護公司 Avanan 發現有黑客大量濫用 Google SMTP (Simple Mail Transfer Protocol) 轉寄服務,借用其他企業的電郵地址轉發釣魚電郵。該公司專家解釋,這種轉寄服務最常用於發送市場推廣電郵,因為如企業直接使用公司電郵地址發送推廣電郵,一旦被收件人舉報為垃圾電郵,便有可能影響企業電郵位址的信譽評級,有可能導致員工日常發送的電郵都被直接發送至垃圾信箱。因此企業只須借用 SMTP 轉寄服務,便可減少上述情況發生,同時又不用花錢購買第三方電郵伺服器服務。
Avanan 的報告內指出,單在 4 月首兩個星期,便已偵測到至少 3 萬封利用相關方法轉發釣魚電郵的個案,以其中一封釣魚電郵為例,雖然電郵表面上看似由 Trello. Com 域名發出,但實際上卻來自 jigokar. com。專家說要成功借用其他企業的電郵域名,必須滿足一項先決條件,就是該企業未有為其域名的 DMARC 政策指令設定為「拒絕」(reject)。
DMARC (Domain-based Message Authentication,Reporting & Conformance) 是一種用於驗證電郵來源真偽的技術,可讓域名持有人阻止其他人盜用域名。只要域名持有人製成一個附有驗證結果指令的 DMARC DNS 記錄,並上載至電郵伺服器,日後如伺服器發現到非來自該域名發出的轉發電郵,便會根據指示執行隔離 (quarantine) 或拒絕 (reject) 接收的動作。雖然這種設定對阻止詐騙非常有效,但由於設定麻煩,以及企業或有可能採用了其他電郵防護工具而忽略了相關設定,因為 DMARC 的使用率並不廣泛。專家續指雖然這次攻擊是針對 Google 的 SMTP 轉寄服務,但其他同類服務亦一樣有可乘之機。作為接收電郵一方,企業必須提高員工的安全意識,避免開啟可疑電郵、連結或附件,才能減少被入侵的風險。
相關文章:【有險可守】安全培訓好重要 33%員工舉報電郵帶惡意內容
https://www.wepro180.com/spam210913/
