Beograd, 27. februar, 2024 – Kompanija Kaspersky je razotkrila novu phishing kampanju koja cilja mala i srednja preduzeća. Napad koristi SendGrid provajdera da se infiltrira na mail liste klijenata i koristi ukradene akreditive za slanje phishing imejlova, koji izgledaju autentično, tako da lako prevare primaoce.
Sajber kriminalci često ciljaju mejling liste koje kompanije koriste da dođu do kupaca, što može da se koristi kao platforma za maliciozne napade, phishing i druge sofisticirane prevare. Pristup legitimnim alatima za slanje velikog broja imejlova (bunk email) dodatno povećava šanse da napadi budu uspešni. Shodno tome, napadači često pokušavaju da kompromituju naloge kompanija kod provajdera. U najnovijem istraživanju, kompanija Kaspersky je otkrila phishing kampanju koja usavršava ovaj metod napada prikupljanjem akreditiva SendGrid ESP-a slanjem phishing imejlova direktno preko provajdera.
Slanjem phishing poruka direktno preko ESP-a, napadači povećavaju verovatnoću uspeha, računajući na poverenje primaoca u ranije poznate izvore. Čini se da imejlovi za krađu identiteta potiču od SendGrid-a, izražavajući zabrinutost za bezbednost i pozivajući korisnike da omoguće dvofaktorsku autentifikaciju (2FA) kako bi zaštitili svoje naloge. Međutim, obezbeđena veza preusmerava korisnike na lažnu web stranicu koja oponaša login sa SendGrid-a i tako prikuplja akreditive korisnika.
Za sve skenere elektronske pošte, phishing izgleda kao savršeno legitiman imejl koji je poslat sa servera SendGrid-a sa važećim vezama koje upućuju na domen SendGrid. Jedina stvar koja može alarmirati primaoca je adresa pošiljaoca. To je zato što ESP-ovi stavljaju domen i ID za slanje pošte stvarnog
klijenta. Ono što može da ukazuje na prevaru je domen „sendgreds“ sajta za krađu identiteta, koji na prvi pogled veoma podseća na legitimni „sendgrid“, služeći kao suptilan, ali značajan znak upozorenja.
Ono što ovu kampanju čini posebno podmuklom je to što phishing mejlovi zaobilaze tradicionalne mere bezbednosti. Pošto se šalju preko legitimne usluge i ne sadrže očigledne znake phishinga, mogu da zaobiđu automatske filtere.
„Korišćenje pouzdanog provajdera je veoma važno zarad reputacije i bezbednosti vaše kompanije. Međutim, neki podmukli prevaranti su naučili kako da oponašaju pouzdane usluge – tako da je veoma značajno da pažljivo proverite mejlove koje dobijate ili instalirate pouzdano rešenje za sajber bezbednost“, komentariše Roman Dedenok, stručnjak za bezbednost u kompaniji Kaspersky.
Najčešće, kriminalci koji se služe phishing kampanjama koriste ukradene naloge, jer ESP-ovi podvrgavaju nove klijente rigoroznim proverama, dok se stari klijenti, koji su već primili i poslali nebrojane mejlove smatraju pouzdanim.