Kommentare zu folgendem Beitrag: Phishing- und Junk-Mails: SendGrid bekommt Spam nicht in den Griff
Dazu bekam ich nach fast 4 Jahren ein Feedback per Kontaktformular:
Hallo
Danke für Euren Hinweis;
https://tarnkappe.info/artikel/it-sicherheit/datenschutz/phishing-und-junk-mails-sendgrid-bekommt-spam-nicht-in-den-griff-55858.html
Nach angeblich 4 Jahren, konnte das Problem bei sengrid nicht behoben werden!
Hierzu meine erhaltene Fake-Mail untenstehend und im Anhang.
Freundliche Grüße
XX
Die Phisher gaben sich als Mitarbeiter von https://teewerk.ch/ aus.
März 2024
Die als SendGrind-Benachrichtigungen getarnten Phishing-E-Mails wurden über die SendGrind-SMTP-Server gesendet, aber die E-Mail-Adressen im Feld „Von“ stammten von anderen Domänen und nicht von sendgrid.com. Das liegt daran, dass die Angreifer die Domänennamen verwendeten, die die kompromittierten SendGrid-Kunden konfiguriert hatten, um für ihre eigenen Kampagnen E-Mails über die Plattform versenden zu können.
Netcraft beobachtete mindestens neun solcher Domains, die Unternehmen aus verschiedenen Branchen gehörten, darunter Cloud-Hosting, Energie, Gesundheitswesen, Bildung, Immobilien, Personalbeschaffung und Verlagswesen. Da diese Domänen für die Verwendung von SendGrid für die E-Mail-Zustellung konfiguriert waren, passierten die Phishing-E-Mails alle üblichen Anti-Spoofing-Sicherheitsfunktionen wie DKIM und SPF, da für diese Domänen die richtigen DNS-Richtlinien eingerichtet waren. „Die Verwendung kompromittierter SendGrid-Konten erklärt, warum SendGrid im Visier der Phishing-Kampagne steht: Die Kriminellen können die kompromittierten Konten nutzen, um weitere SendGrid-Konten in einem Zyklus zu kompromittieren und ihnen so einen stetigen Nachschub an neuen SendGrid-Konten zu bieten“, sagten die Netcraft-Forscher.
Abgesehen von den verdächtigen Adressen im Feld „Von“ gibt es kaum etwas anderes, was dazu führen könnte, dass die betrügerischen E-Mails für einen Empfänger nicht authentisch erscheinen. Der Link hinter der in der E-Mail enthaltenen Schaltfläche wird mithilfe der Klick-Tracking-Funktion von SendGrid maskiert. Das bedeutet, dass die URL auf ein auf sendgrid.net gehostetes Skript verweist, das dann eine Weiterleitung auf die von den Angreifern eingerichtete Phishing-Seite durchführt. Allerdings wird die URL der Phishing-Seite als codierter Parameter an das SendGrid-Skript übergeben, sodass sie für den Benutzer nicht als Klartext sichtbar ist, wenn er mit der Maus über die Schaltfläche fährt.
Die Phishing-Seite selbst wird ebenfalls mit JSPen gehostet, einem Tool, mit dem ganze Webseiten im Handumdrehen im Browser generiert werden können, basierend auf Code, der als URL-Fragment nach dem #-Zeichen übergeben wird. Diese werden auch als serverlose Webseiten bezeichnet. In diesem Fall enthält das JSPen-URL-Fragment ein
Wenn dies der Fall ist, wird die SendGrid-API aufgefordert, einen Zwei-Faktor-Authentifizierungscode an das Telefon des Benutzers zu senden, und auf der Seite wird ein Zwei-Faktor-Authentifizierungsfeld im SendGrid-Stil angezeigt. Wenn der Code eingegeben wird, prüft das Skript erneut, ob er gültig ist, und gibt einen Fehler aus, wenn dies nicht der Fall ist.
Diese Technik, Anmeldeinformationen und 2FA-Codes in Echtzeit zu validieren und eine Fehlermeldung zurückzugeben, wenn sie nicht funktionieren, macht es für Benutzer schwieriger zu testen, ob es sich um eine gefälschte Seite handelt. Natürlich könnten sie jederzeit die URL überprüfen und feststellen, dass sie sich nicht auf einer SendGrid-Domäne befinden.
Der gute Mann hat das Problem jetzt nochmals gemeldet. Man teilte ihm mit, man werde das bearbeiten. Ist ja auch Zeit nach vier Jahren.