L'ANALISI TECNICA

L’inoltro SMTP di Google abusato per l’invio di phishing: così falsificano gli indirizzi Gmail

Sfruttando il servizio di inoltro SMTP di Google (usato, ad esempio, per l’invio massivo di e-mail a scopo di marketing), i criminal hacker riescono a inviare phishing falsificando qualsiasi indirizzo Gmail. Ecco i dettagli della nuova campagna malevola e i consigli di mitigazione del rischio

05 Mag 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

I criminali informatici starebbero sfruttando il servizio di inoltro SMTP di Google per inviare e-mail di phishing interponendo un relay tra il server mittente e la posta in arrivo del destinatario, creando le condizioni per riuscire a falsificare qualsiasi indirizzo Gmail.

Ricordiamo che un servizio di inoltro SMTP affidabile e riconosciuto come servizio legittimo può essere solitamente utilizzato dalle organizzazioni per l’invio massivo di e-mail, ad esempio a scopo di marketing, verso un vasto database di utenti per avere la garanzia della consegna dei messaggi senza blocchi.

Purtroppo, però, se non si adottano delle protezioni opportune, questi servizi possono essere impiegati anche malevolmente per falsificare marchi legittimi e inviare campagne di phishing e malspam.

Tra le società affidabili che offrono un tale servizio di inoltro SMTP figura, per l’appunto, Gmail che fornisce la possibilità di instradare i messaggi di posta elettronica in uscita non Gmail tramite Google.

“A partire da aprile 2022, i ricercatori Avanan hanno assistito a un massiccio aumento di questi attacchi SMTP Relay Service Exploit in natura, poiché gli attori delle minacce utilizzano questo servizio per falsificare qualsiasi altro tenant Gmail e iniziare a inviare e-mail di phishing che sembrano legittime. Nell’arco di due settimane, Avanan ha visto quasi 30.000 di queste email”: questo è il dato che emerge dal rapporto pubblicato da Jeremy Fuchs di Avanan.

Protocollo DMARC: cos’è e come implementarlo per proteggere la posta elettronica aziendale

Un campione e-mail della campagna osservata

Utilizzando qualsiasi tenant di Gmail, relativo a piccole e grandi società, gli attaccanti possono inviare e-mail di phishing con maggiori probabilità di entrare nella posta in arrivo dei destinatari, poiché sfrutta per l’appunto la fiducia intrinseca dei marchi legittimi, purché il dominio del marchio impersonato non abbia il criterio di controllo DMARC abilitato.

WEBINAR
18 Maggio 2022 -
Finance e cyber minacce: come proteggersi davvero e affrontare gli scenari di crisi

Il controllo DMARC si occupa infatti di verificare per le email in ingresso l’autenticazione SPF o DKIM. DMARC è uno standard di autenticazione basato su DNS e la sua implementazione è stata pensata proprio per proteggere dagli attacchi di impersonificazione (spoofing) impedendo che e-mail dannose e contraffatte raggiungano i destinatari.

Ecco i dettagli di un campione email della campagna.

Nell’esempio che segue, si può vedere come gli attaccanti usando il protocollo “smtp-relay.gmail.com” come servizio SMTP siano riusciti a inviare una e-mail che invita a scaricare un allegato da un dominio (“sedkahusa66.com”) diverso rispetto a quello che appare (“venmo.com”) nella posta in arrivo consegnata al destinatario.

L’analista Fuchs ha inoltre evidenziato nel suo rapporto come anche il dominio “trello.com” oltre a quello “venmo.com”, non avendo il criterio DMARC abilitato per il rigetto, sia stato illecitamente impersonificato in questa campagna, a differenza di altri domini come “netflix.com” per i quali esiste una politica DMARC correttamente configurata.

Consigli di mitigazione del rischio

Purtroppo, chiunque può verificare l’abilitazione della politica di rifiuto DMARC per uno specifico dominio utilizzando semplici strumenti disponibili in rete come Mxtoolbox: pertanto, potrebbe essere molto probabile che il dominio della propria organizzazione finisca con l’essere impersonificato qualora non si abbia correttamente configurata la politica DMARC, che quindi deve restare una pratica di sicurezza estremamente consigliata per prevenire in genere gli attacchi di spoofing dei domini.

Gli utenti finali possono prendere in considerazione le seguenti buone pratiche:

  1. controllare l’indirizzo del mittente prima di interagire con qualsiasi email anche controllando l’header completo del messaggio;
  2. prima di cliccarci sopra, passare sempre con il mouse sui link ricevuti per verificare la autenticità dell’URL di destinazione;
  3. prestare sempre attenzione agli allegati eventualmente contenuti nei messaggi, prima di scaricarli e aprirli.

È importante precisare che esistono numerosi servizi di inoltro SMTP oltre a quello specificatamente trattato in questa occasione che potrebbero essere altrettanto vulnerabili a questo attacco.

Avanan, comunque, fa sapere di aver notificato del caso a Google il 23 aprile 2022.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5