想象一下,收到一封来自 Disney+ 的电子邮件,其中提供了一项诱人的订阅优惠。发件人看起来是合法的,而且这封电子邮件没有被标记为垃圾邮件。你正要点击,但直觉却让你犹豫了。这种犹豫可能让你免于成为“EchoSpoofing”的受害者,这是一种复杂的网络钓鱼技术,目前正在网络社区引起轰动。
Guardio Labs最近发现
EchoSpoofing 利用了 Proofpoint 电子邮件网关中的一个漏洞,该网关原本应该保护通过电子邮件工作流程共享的敏感公司数据。
这是怎么发生的?如何解决?我们下一步该如何行动?
请继续阅读我们的分析,或观看我们视频系列中更技术性的细分讨论。
发生了什么?EchoSpoofers 利用 Proofpoint 电子邮件安全软件每天发送数百万封钓鱼电子邮件
这个被称为“EchoSpoofing”的漏洞允许威胁行为者使用 Proofpoint 自己的电子邮件中继发送数百万封精心伪造的网络钓鱼电子邮件。
1. 初始欺骗:攻击者使用运行
名为 PowerMTA 的企业级电子邮件传递应用程序的虚拟专用服务器集群来创建欺骗电子邮件,操纵标题以冒充迪士尼、IBM 和可口可乐等合法品牌。
2. Microsoft 365 漏洞利用:据 Proofpoint 称,威胁者随后利用 700 多个 Microsoft 365 租户帐户来促进攻击,其中许多帐户仍处于活动状态。M365 Exchange 服务器配置为盲中继,允许伪造的标头不加改变地通过。
3. Proofpoint 中继滥用:网络钓鱼电子邮件随后被定向到 Proofpoint 的服务器。攻击者通过公共 DNS 记录识别出 Proofpoint 针对每个目标的特定 pphosted.com 托管服务器。由于 Proofpoint 中继配置错误,它接受了来自威胁行为者的 PowerMTA 服务器的入站消息。Proofpoint 根据其来源将入站邮件列入允许列表;一个选项允许单个复选框允许来自“Microsoft 365”的流量。但是,没有区分单独的365 个租户 – 如果您选择允许自己的租户,那么您只是无意中允许了所有365 个租户 – 包括上面提到的受感染的租户。
4. 身份验证绕过:由于欺骗性电子邮件来自看似有效的来源,因此它们从 Proofpoint 的服务器获得了合法的 SPF(发件人策略框架)和 DKIM(域密钥识别邮件)身份验证,这进一步使此漏洞的初步识别变得复杂。
SPF:这些电子邮件似乎来自目标域的 SPF 记录中列出的批准 IP 地址,其中包括 Proofpoint 的服务器。
DKIM: Proofpoint 的服务器使用其客户的真正 DKIM 密钥对电子邮件进行签名,因为这些密钥存储在 Proofpoint 上以供合法使用。
5. 投递:现已完全验证的电子邮件被发送到收件人的收件箱,由于其表面上的合法性,绕过了典型的安全措施。
网络攻击时间表
2024 年 1 月:攻击活动开始,攻击者加大了攻击行动力度。
2024 年 3 月下旬: Proofpoint 意识到了这个问题,并启动了内部调查。
2024 年 5 月: Guardio Labs 和 Proofpoint 开始合作解决该漏洞。开始采取积极的缓解措施并向客户发出通知。
2024 年 6 月初:网络钓鱼活动明显减少,表明缓解措施正在发挥作用。
总而言之,该漏洞在得到有效缓解之前一直活跃着大约六个月。
这是一份方便参考的外国紧急联要联系 特定系电话列表。写下或保存在您的手机中——您在目的地使用的号码。我们全面的电话列表可为您提供简 欧洲手机号码列表 单方便的联系信息。查找您需部门的电话号码。手机号码有不同的区号例如查看区号列表。如果没有国家。
攻击规模
在 EchoSpoofing 攻击活动的高峰期,每天大约会发送 1400 万封欺诈性电子邮件。攻击者的基础设施非常强大,他们利用受感染的 M365 帐户、SMTP 服务器和复杂的电子邮件传递软件网络来维持高流量操作。
X-Headers:Proofpoint 补丁
Proofpoint 修复的核心是使用名为“X-OriginatorOrg”的特定 X 标头。Microsoft Exchange 服务器会自动将此标头附加到所有外发电子邮件中,包括盲目转发的电子邮件。此标头包含不同的 M365 帐户名称或“租户”,提供了一种可靠的 改善工作场所团队沟通的 12 个技巧 [信息图] 方法来验证每封电子邮件的真实来源。
通过实施基于此 X-header 的过滤,Proofpoint 客户现在可以确保只接受来自其自己授权的 M365 租户的电子邮件。这有效地防止了恶意行为者继续利用 Proofpoint 的电子邮件安全客户。
X-headers 并不是万灵药,安全性也永远不会完美。
在 Virtru,我们长期以来一直使用 X-header 作为部署和配置电子邮件网关的标准做法。我们还知道,绝对最佳的电子邮件安全性来自纵深防御、灵活的部署选项(服务器和客户端控制)以及发件人和收件人的易用性的组合。
从 Proofpoint 中吸取的教训
这次 EchoSpoofing 攻击给大家带来了一些惨痛的教训,包括:
响应和补救措施: 攻击始于 1 月。Proofpoint 在 3 月发现了这一情况,但直到 6 月才实施修复。与此同时,沮丧的客户在 Reddit 上发泄他们的不满。我们需要更好地及早发现问题、清晰沟通并解决问题。
让安全功能更加用户友好:是的,客户需要电子邮件设置的灵活性。但是,如果灵活性为攻击者敞开了大门,那灵活性又有什么用呢?这次事 移动电话号码列表 件告诉我们,我们需要取得平衡:强大的默认设置、易于使用的控件以及对每个设置对安全性的意义的清晰解释。
电子邮件提供商需要加强
电子邮件服务提供商必须加强对新帐户的控制。限制来自新帐户或未经验证的帐户的大量电子邮件以及打击域名欺骗不仅是好主意,而且对于保持电子邮件生态系统的健康至关重要。
保持警惕。截至撰写本文时,许多发起此漏洞的 Proofpoint 识别的 M365 租户帐户仍处于活跃状态,这一事实清楚地提醒我们,网络安全是一项永无止境的工作。我们一刻也不能放松警惕。
Virtru 标准
在 Virtru,我们始终坚信要领先于潜在威胁。这就是为什么我们从第一天起就将 X-headers 用作安全工具包的一部分。
我们的 Virtru 数据保护网关可自动保护通过电子邮件和 SaaS 应用共享的敏感数据,而不会中断您团队的工作流程。对于使用我们托管网关的用户,它已配置为防止 EchoSpoofing 类型的攻击。如果您自己托管网关,我们会提供明确的指导方针以确保正确设置网关,我们的团队随时可以帮助您微调防御措施。
除了电子邮件之外,我们还提供应用程序来保护您的文件和数据,无论它们位于何处。我们的目标是保证您的敏感信息安全,而不会使您的日常操作变得复杂。如果您担心当前的电子邮件安全性,或者想了解 Virtru 的方法有何不同,请立即联系我们的团队。
观看我们的全面分析
在我们最新一期的 Hash It Out 节目中,产品和工程专家 Mike Morper 和 Trevor Foskett 深入探讨了该漏洞的技术方面。可免费点播观看。
