Útočníci zneužívají webové formuláře e-shopů a organizací, varují odborníci Cisco Talos

Pokud vám e-shop poděkoval za dotaz, který jste nikdy neodeslali, pravděpodobně jste cílem nového typu kyberútoku

Praha, 21. listopadu 2024 – Experti kyberbezpečnostní organizace Cisco Talos varují, že hackeři začali v poslední době zneužívat k rozesílání mailů se škodlivým obsahem registrační a odpovědní formuláře, jaké dnes používají prakticky všichni provozovatelé webových stránek. Řada uživatelů se již naučila neotevírat mail z neznámých zdrojů, ale například vůči zprávám z e-shopu, kde pravidelně nakupují, obvykle nejsou tolik ostražití. Většina webů není v současnosti proti tomuto typu útoků chráněna. Uživatelé tak bohužel mají jen omezené možnosti, jak se bránit.

Webové formuláře: nový nástroj útočníků pro zasílání spamu

Útočníci letos objevili novou metodu, jak dostat k libovolnému uživateli internetu mail se škodlivým obsahem, například odkazem na zavirované webové stránky nebo stránky s phishingem. Zaměřili se na webové formuláře různých služeb a firem, které slouží například pro registraci nového účtu, přihlášení na akce nebo jako kontaktní formuláře – třeba reklamační formulář či dotaz na technickou podporu.

Kvůli absenci bezpečnostních prvků jsou mnohé z těchto formulářů náchylné k manipulaci. Taktika útočníků spočívá v tom, že do příslušného pole vyplní e-mail své oběti a do textu vloží vlastní spamovou zprávu, obvykle doplněnou škodlivým odkazem. Webová stránka pak na zadaný e-mail odešle potvrzení a připojí i celý obsah vložené zprávy, včetně nebezpečného prokliku.

„Zákeřnost tohoto typu útoku je dvojí. Za prvé, škodlivý e-mail přichází z legitimního webu a je tak obtížně odhalitelný pro běžné antispamové filtry. Za druhé, má velkou šanci překonat psychologickou bariéru – uživatel vidí, že mu přišla zpráva z e-shopu, kde třeba běžně nakupuje, a zpráva hovoří například o technickém dotazu, který měl daný člověk odeslat. Je pak vyšší pravděpodobnost, že si zprávu otevře, klikne na vložený odkaz a dostane se třeba na phishingový web,“ říká Milan Habrcetl, kyberbezpečnostní expert společnosti Cisco. 

Útočníci zneužívají také aplikace Google

Experti Cisco Talos již dříve upozorňovali na odesílání nevyžádaných zpráv uživatelům prostřednictvím kvízů vytvořených v aplikaci Google Formuláře. Podobné zranitelnosti obsahují i Google aplikace Nákresy, Tabulky, Skupiny nebo Kalendář. Kvůli tomu, že útočníci používají různé aplikace Google, a to i v různých jazykových mutacích, se mohou do značné míry vyhnout odhalení ze strany společnosti Google. Oproti webovým formulářům však zasílání spamu pomocí aplikací Google vyžaduje mnohem více práce a úsilí na straně útočníků.

Většina e-mailů odeslaných prostřednictvím formulářů webových stránek či aplikací Google je zcela legitimní, takže škodlivé zprávy splývají se standardním provozem. Oběti tak mají bohužel jen málo možností, jak se před tímto typem útoku bránit. Pozitivní však je, že obvykle některý z dalších prvků v e-mailech prozradí, že jde o spam. Může jít např. o vložený odkaz na nákup kryptoměn nebo návštěvu webové stránky s erotickým obsahem.

Antispamový filtr často nepomůže. Cisco doporučuje ochranu proti škodlivým kliknutím

„Softwarová řešení na ochranu před spamem obvykle vyhodnocují důvěryhodnost serveru, ze kterého byl email odeslán. Proto také často neodhalí spam, který technicky vzato pochází od legitimního provozovatele e-shopu nebo jiné služby. Uživatelé by proto měli zvážit důkladnější formu ochrany, například v podobě nástrojů na blokování přístupu k nežádoucím webovým stránkám po kliknutí na škodlivý odkaz,“ upozorňuje Habrcetl.

Uživatel se v první řadě může chránit tak, že si pečlivě přečte doručený mail a nebude klikat na žádný vložený odkaz. Tento přístup však vyžaduje maximální obezřetnost a zodpovědnost a nemusí být zcela spolehlivý. Efektivnější formou ochrany je využít nástroj na zamezení škodlivému kliknutí. Ve chvíli, kdy uživatel klikne na škodlivý odkaz v podvrženém e-mailu, tento nástroj automaticky zablokuje pokus o navázání komunikace s nebezpečnou doménou. Jedním z takových řešení je například služba OpenDNS, která je pro soukromé použití k dispozici zdarma – pro firmy je pak k dispozici podobné řešení pod názvem Cisco Umbrella.

Příklad spamové zprávy zneužívající registrační formulář události

Příklad spamové zprávy odeslané prostřednictvím formulářů Google

Další informace naleznete na: https://blog.talosintelligence.com/simple-mail-transfer-pirates/

O Cisco Talos

Cisco Talos Intelligence Group je jedním z největších komerčních zpravodajských týmů zaměřených na možná ohrožení IT systémů složený z prvotřídních výzkumných pracovníků, analytiků a inženýrů. Talos brání zákazníky Cisco před známými i novými hrozbami, identifikuje nové zranitelnosti a odhaluje hrozby v jejich zárodku dříve, než mohou poškodit internetové prostředí. Tým Talos má k dispozici bohatou telemetrii dat společnosti Cisco, která pokrývá sítě, koncové body, cloudová prostředí, virtuální systémy a každodenní webový a emailový provoz. Cisco Talos vznikla spojením výzkumného týmu zranitelnosti SourceFire, skupiny Cisco Threat Research and Communications a Cisco Security Applications Group.

O Cisco Systems 

Cisco (NASDAQ: CSCO) je celosvětový technologický lídr, který vše bezpečně propojuje, aby bylo možné cokoliv. Naším cílem je podporovat inkluzivní budoucnost pro všechny tím, že pomáháme našim zákazníkům přetvořit jejich aplikace, podporovat hybridní práci, zabezpečit jejich podnik, transformovat jejich infrastrukturu a plnit jejich cíle udržitelnosti. Zjistěte na newsroom.cisco.com a sledujte nás na Twitteru na @Cisco.