Fallo de SMTP de Google expone cuentas al phishing
Los phishers están explotando un fallo en el servicio de retransmisión SMTP de Google para enviar correos electrónicos maliciosos suplantando a marcas populares.
El investigador de Avanan Jeremy Fuchs afirma que, a partir de abril de 2022, han visto un aumento masivo de estos ataques de exploits del servicio de retransmisión SMTP en la naturaleza, ya que los actores de amenazas utilizan este servicio para suplantar a otros usuarios de Gmail.
El exploit del servicio de retransmisión SMTP se aprovecha de la falta de aplicación de DMARC
Las organizaciones utilizan el servicio de retransmisión SMTP de Google para enviar mensajes promocionales a un gran número de usuarios sin correr el riesgo de que su servidor de correo se incluya en una lista de bloqueo.
«Muchas organizaciones ofrecen este servicio. Gmail también lo hace, con la posibilidad de enrutar los mensajes salientes que no son de Gmail a través de Google», explicó Fuchs.
«Sin embargo, estos servicios de retransmisión tienen un defecto. Dentro de Gmail, cualquier usuario de Gmail puede utilizarlo para suplantar a cualquier otro usuario de Gmail. Esto significa que un hacker puede utilizar el servicio para suplantar fácilmente a las marcas legítimas y enviar campañas de phishing y malware. Cuando el servicio de seguridad ve que avanan.com entra en la bandeja de entrada, y es una dirección IP real de Gmail, empieza a parecer más legítima».
Así, las soluciones de seguridad del correo electrónico son eludidas -ya que los servidores de retransmisión SMTP de Gmail suelen ser de confianza- y los destinatarios ven una dirección de correo electrónico de aspecto legítimo en el campo «De:». Sólo comprobando las cabeceras de los mensajes los usuarios podrán darse cuenta de que algo no va bien.
Fuchs señala que esta técnica de suplantación de marca sólo funcionará si la empresa suplantada/marca no ha activado su política de rechazo de DMARC.
DMARC es un estándar de autenticación basado en DNS. Su implementación protege a las organizaciones de los ataques de suplantación de identidad al impedir que los correos electrónicos maliciosos y falsos lleguen a los destinatarios.
Cualquier phisher -de hecho, cualquier persona que utilice Internet- puede comprobar si la política de rechazo de DMARC se ha activado para un dominio específico, utilizando herramientas como MXToolbox. Fuchs señaló que, por ejemplo, Trello y Venmo no lo han hecho, mientras que Netflix sí.
Solucionar el problema y evitar el peligro
Fuchs dice que han notificado a Google cómo los phishers estaban utilizando su servicio de retransmisión SMTP el 23 de abril de 2022.
«Google señaló que mostrará indicadores que muestren la discrepancia entre los dos remitentes, para ayudar al usuario y a los sistemas de seguridad posteriores», dijo Fuchs
Además, señala, cualquier relé SMTP que exista podría ser vulnerable a este tipo de ataque.
La respuesta general a este conocido problema de seguridad es que las empresas utilicen el protocolo DMARC, como aconseja Google.
Pero hasta que esto se convierta en la norma, se aconseja a los destinatarios que comprueben las cabeceras de los mensajes de correo electrónico no solicitados y se abstengan de abrir los archivos adjuntos o de hacer clic en los enlaces de esos mensajes si no pueden comprobar si son maliciosos o no.
Tras conocerse esta vulnerabilidad, Google declaró:
«Tenemos protecciones integradas para detener este tipo de ataques. Esta investigación explica por qué recomendamos a los usuarios de todo el ecosistema que utilicen el protocolo DMARC (Domain-based Message Authentication, Reporting & Conformance). Si lo hacen, se defenderán contra este método de ataque, que es un problema bien conocido en el sector»,
Fuente: HelpNetSecurity