În 2025, infractorii cibernetici nu doar ocolesc apărarea tradițională, ci o transformă în armă.
Un nou val de atacuri de phishing abuzează de servicii de încredere precum Google pentru a trece chiar și de cele mai conștiente de securitate cutii poștale. Aceste mesaje trec adesea verificările SPF, DKIM și DMARC. Ele provin de la domenii legitime. Ele poartă acel marcaj verde liniștitor în Google Workspace. Și totuși - sunt rău intenționate.
Problema? Autentificarea prin e-mail nu inspectează comportamentul.
| Stratul de securitate | Categoria | Scop | Ce protejează |
|---|---|---|---|
| SPF (Sender Policy Framework) | Autentificare | Validează IP-ul serverului de trimitere | Împiedică falsificarea serverelor de trimitere |
| DKIM (DomainKeys Identified Mail) | Autentificare | Asigură integritatea mesajului | Protejează mesajul împotriva falsificării |
| DMARC (aplicarea politicilor) | Autentificare | Aliniază SPF/DKIM cu expeditorul vizibil | Împiedică utilizarea neautorizată a domeniului From: |
| Protecția împotriva falsificării mărcii | Zero Trust/Content Trust | Detectează impersonarea mărcilor, nu doar a domeniului | Previne phishing-ul vizual cu un design înșelător |
| Analiza URL și a paginii | Zero încredere/comportament | Analizează linkurile încorporate și paginile de destinație | Detectează phishing-ul și capcanele de creditare |
| Sandbox & Behavior Emulation (MetaDefender Aether) | Zero încredere/comportament | Observă comportamentul dinamic al linkurilor, fișierelor și formularelor | Detectează intenții, malware, IOC - chiar și în domenii de încredere |
To keep up, enterprise security teams need more than trust-based signals. They need behavior-based detection. And that’s where OPSWAT MetaDefender Aether comes in.
Semnat, sigilat și compromis: Gaura de scăpare DKIM Replay
O tactică emergentă este atacul de reluare DKIM - în care un atacator reutilizează un antet de e-mail semnat în mod legitim, dar adaugă conținut malițios dincolo de porțiunea semnată.
Iată cum funcționează:
- DKIM utilizează o semnătură pentru a verifica că o parte a mesajului nu a fost modificată.
- Dar dacă se utilizează eticheta l= (lungime), numai o parte a mesajului este semnată.
- Un atacator poate introduce conținut malițios după acea porțiune semnată, lăsând verificarea DKIM complet intactă.
- DMARC trece, deoarece depinde de SPF sau DKIM pentru validarea sursei.
Rezultatul? Un mesaj perfect autentificat care livrează conținut de phishing.
Abuz de phishing OAuth: Deturnarea încrederii din interiorul Google Alerts
O altă tendință îngrijorătoare este abuzul de infrastructura OAuth a Google.
Atacatorii sunt:
- Crearea de aplicații OAuth false denumite "Google Security Update" sau "Account Review Required"
- Trimiterea de alerte de securitate semnate Google care notifică utilizatorii cu privire la aceste aplicații
- Încorporarea de linkuri de phishing în alertele respective, susținute de domeniile legitime fără răspuns ale Google
Întreaga momeală de phishing apare într-un format marca Google, folosind alertele de tip threaded și reputația domeniului pentru a dezarma utilizatorii. Acesta nu este falsificat, ci este găzduit de Google.
Semnul de control verde nu este suficient
Este un sentiment fals de securitate. Un mesaj care trece SPF, DKIM, și DMARC ar putea încă:
- Conține pagini de colectare a acreditărilor
- Utilizați trucuri UI pentru a ascunde câmpurile de autentificare
- Exploatați spațiile albe pentru a întârzia sarcinile utile rău intenționate
- Să găzduiască pagini de autentificare Microsoft sau Google false pe infrastructura legitimă (de exemplu, sites.google.com)
Autentificarea e-mailului validează doar proveniența unui mesaj, nu și ceea ce face acesta.
MetaDefender Aether: A Critical Layer of Defense for Email Behavior
OPSWAT’s MetaDefender Aether adds critical visibility. Rather than relying on signatures or sender validation, the sandbox emulates email behavior:
- Inspecția dinamică a legăturilor - Urmărește legăturile încorporate într-un mediu securizat pentru a evalua comportamentul paginii în timp real
- Analiza interfeței utilizator și a aspectului - Identifică ecranele de autentificare false, câmpurile ascunse și capcanele pentru acreditări
- Detectarea fluxului de phishing - Detectează redirecționările, trimiterea de formulare și punctele finale controlate de atacatori
Because it doesn’t trust email by default, MetaDefender Aether detects what authentication-based solutions miss. Even signed, authenticated, and “green-checked” emails can be weaponized. MetaDefender exposes the real intent.
Ce trebuie să facă întreprinderile acum
Phishing-ul evoluează. Și apărarea ta trebuie să evolueze. Iată cum să luați-o înainte:
- Adoptați Zero Trust Email Security - Nu vă bazați doar pe antete și metadate. Inspectați conținutul și comportamentul e-mailurilor.
- Adăugați Sandboxing bazat pe comportament - Îmbunătățiți stack-ul de detectare cu analiză dinamică pentru link-uri, formulare și sarcini utile.
- Alerte și e-mailuri de sistemSecure - OAuth și abuzul de domeniu fac chiar și e-mailurile de alertă un potențial vector de amenințare.
Inspectați ceea ce autentificarea singură nu poate vedea
Discover how OPSWAT MetaDefender Aether detects advanced phishing—even from “trusted” sources like Google alerts. Talk to an expert today and discover how you can put our advanced sandbox on the front lines of your email security strategy.
