Gli hacker hanno trovato un modo per falsificare qualsiasi indirizzo Gmail e per aggirare gli strumenti di sicurezza delle e-mail automatizzati: inserendo un relay tra il server e la posta in arrivo, abusando del servizio di inoltro SMTP di Google.
Un servizio di inoltro SMTP, offerto da molte realtà tra cui Gmail, è un servizio molto prezioso per le aziende e gli individui per inviare messaggi di marketing a un vasto database di utenti senza essere bloccati. Le organizzazioni lo utilizzano perché è affidabile e il suo scopo è garantire che un’e-mail non finisca nella cartella della posta indesiderata.
Tuttavia, gli esperti hanno rilevato che questi servizi di inoltro hanno un difetto: all’interno di Gmail, qualsiasi tenant Gmail può utilizzarlo per falsificare qualsiasi altro tenant Gmail. Ciò significa che un attore malevole può utilizzare il servizio per falsificare con facilità marchi legittimi e inviare campagne di phishing e malware. Ad esempio “quando il servizio di sicurezza vede avanan.com entrare nella posta in arrivo ed è un vero indirizzo IP dall’IP di Gmail, inizia a sembrare più legittimo”.
A partire dall’aprile 2022, i ricercatori Avanan hanno assistito a un massiccio aumento di questi attacchi SMTP Relay Service Exploit in natura. Nell’arco di due settimane, Avanan ha osservato quasi 30.000 di queste e-mail.
In questo attacco, gli hacker stanno sfruttando il servizio di inoltro SMTP di Google per falsificare i domini e i marchi e accedere alla posta in arrivo e inviare e-mail di phishing. Possono utilizzare qualsiasi tenant di Gmail, dalle piccole aziende alle grandi e famose società.
Una volta falsificati, possono inviare e-mail di phishing che hanno maggiori probabilità di entrare nella posta in arrivo, sfruttando la fiducia intrinseca dei marchi legittimi.
Una volta nella posta in arrivo, gli hacker sperano che gli utenti finali clicchino sul collegamento dannoso presente nella e-mail fraudolenta o scarichino un documento dannoso così da rubare loro le credenziali.
Gli esperti fanno notare che qualsiasi servizio di inoltro SMTP potrebbe essere vulnerabile a questo tipo di attacco.
Avanan il 23 aprile 2022 ha notificato a Google come gli hacker stavano utilizzando questo relay.
https://www.avanan.com/blog/the-gmail-smtp-relay-service-exploit