Eksperci z Cisco Talos ostrzegają przed zagrożeniami polegającymi na podszywaniu się pod popularne firmy w wiadomościach e-mail, które wykorzystują rozpoznawalność logo w celu wyłudzenia poufnych informacji. Przestępcy, przygotowując przynęty na potrzebę tych ataków, najczęściej korzystają z darmowych usług e-mail, kodowania base64 oraz nieuwagi potencjalnych ofiar.
Zakres rozpowszechnienia tych ataków w okresie od 22 marca do 22 kwietnia 2024 r. zespół Cisco Talos oszacował korzystając z mechanizmu wykrywania Cisco Secure Email Threat Defense. Najwięcej z nich wykorzystuje w tym celu pocztę na gmail.com lub na outlook.com, jednak należy pamiętać, że ataki nie są ograniczone tylko do tych rozwiązań. Zdecydowanie najczęściej cyberprzestępcy podszywają się pod Microsoft, a na kolejnych miejscach (z zaledwie ułamkiem incydentów w porównaniu do lidera) są inne firmy kojarzone z technologią - DocuSign, Amazon, Norton czy PayPal.
Cyberprzestępcy stosują różne techniki osadzania logo marek w wiadomościach e-mail. Jedna z prostszych metod polega na wstawianiu słów związanych z marką do źródła HTML wiadomości e-mail. Na przykład, logo PayPal można znaleźć w postaci zwykłego tekstu w źródle HTML wiadomości e-mail. Bardziej zaawansowaną techniką jest pobranie logo marki ze zdalnych serwerów w momencie nadesłania wiadomości. W tej technice identyfikator URI zasobu jest osadzony w źródle HTML wiadomości e-mail w postaci zwykłego tekstu lub zakodowanego w formacie Base64.
Jeszcze innym sposobem popularnym wśród cyberprzestępców jest podstawienie logo poprzez załączniki. Tak jak w poprzednich przypadkach logo jest zwykle zakodowane w formacie base64, aby uniknąć wykrycia. Klienci poczty e-mail automatycznie pobierają i renderują te logo, jeśli odwołują się do nich ze źródła HTML wiadomości e-mail. Cyberprzestępcy potrafią jednak być też bardziej kreatywni i używać innych form załącznika, na przykład png i pdf.
Aby ograniczyć liczbę i skutki naruszeń bezpieczeństwa, eksperci Cisco Talos zalecają edukację zarówno pracowników w firmie, jak i jej klientów. Znanym markom radzą chronienie siebie oraz swoich konsumentów przed tego typu zagrożeniami poprzez odpowiednią ochronę zasobów. Nazwy domen mogą być rejestrowane z różnymi rozszerzeniami, aby udaremnić aktorom próbującym wykorzystać podobne domeny do złośliwych celów. Innym ważnym krokiem, jaki mogą podjąć marki, jest ukrycie swoich informacji w rejestrach WHOIS poprzez ochronę prywatności. Nazwy domen muszą być regularnie aktualizowane, ponieważ wygasłe domeny mogą być łatwo wykorzystywane przez cyberprzestępców do działań, które mogą zaszkodzić reputacji firmy. Nazwy powinny być prawidłowo zarejestrowane, aby organizacja mogła podjąć kroki prawne w przypadku podszywania się nią.
Zespół Cisco Talos oferuje nowe narzędzia Cisco Secure Email Threat oraz opracował nową funkcję w Cisco Secure Email, która umożliwia wykrywanie prób podszywania się pod popularne firmy w wiadomościach e-mail.
