針對電郵服務供應商SendGrid用戶的網絡釣魚

公司與客戶聯絡的電郵清單一向是網絡攻擊者感興趣的目標,所以不惜使用濫發、網絡釣魚甚至精密詐騙的手段,原因除了數據庫之外,能使用合法工具發放大量郵件,攻擊成功機會大幅提高,所以電郵供應商的公司帳號便成為目標,而最近有活動明顯針對SendGrid的用戶。

經SendGrid發釣魚電郵格外危險

通常面對網絡釣魚,我們經常建議仔細查看按鍵或超連結內的網域名稱,而電郵供應商的規矩是不容許直接連到客戶網站放在電郵內,而是提供一種重新導引,在收件者的電郵內連結會看到電郵供應商的域名,然後才導引他們到寄件者指定的網站,此舉有準確統計的作用。

在這次的個案中,釣魚電郵來自電郵供應商SendGrid,表達關於客於保安的關注,突出啟動雙重登入認證(2FA)的需要,以防止外部人士取得帳號控制權,電郵解釋2FA的優點並提供連結去更新保安設定,這時候大家猜到連結的域名是SendGrid,如此一來,所有條件都看似是來自SendGrid伺服器的合法電郵,唯一令收件者有懷疑的地方只有發送者地址,因為展示了真實客戶的域名和電郵ID。

釣魚網站

這裡才是攻擊者的起點和終點,SendGrid重新導引的連結會把收件者帶到一個偽裝帳號登入的釣魚網站,網站的域名是「sendgreds」,容易令人誤以為sendgrid。

防範方法

由於電郵傳送自合法的服務供應商,也沒有常見的釣魚特徵,所以能通過自動過濾,因此要保護公司用戶,除了在mail gateway等級的保護之外,所有連線互聯網的裝置都需要先進的防釣魚防護,能有效防範重新導引到釣魚網站。至於真心想設定2FA的用戶,只要不經由攻擊者的連結,直接在官網的自己帳號內設定會安全得多。

資料來源:Kaspersky Blog