Los actores de amenazas están explotando el servicio legítimo de correo SendGrid para falsificar los correos electrónicos de phishing de HMRC que eluden los filtros de spam.
El problema conocido ha sido aprovechado repetidamente por estafadores para evadir la detección de los productos de seguridad del correo electrónico, pero aún no se ha encontrado una solución concreta.
Servicio de entrega de correo electrónico abusado para suplantar correos electrónicos de HMRC
SendGrid es una empresa de entrega de correo electrónico que proporciona infraestructura para enviar boletines informativos, correos electrónicos promocionales y correos electrónicos comerciales operativos, como notificaciones de envío.
Si bien SendGrid es en sí mismo un servicio legítimo, los actores de amenazas han abusado de algunas de sus funciones para evitar los filtros de correo no deseado y los productos de seguridad del correo electrónico.
Un investigador de seguridad conocido como TheAnalyst compartió información con BleepingComputer sobre una campaña de phishing de HMRC en curso que utiliza SendGrid para evitar los filtros de spam.
Fuente: Twitter
Las páginas web de phishing a las que se vincula el correo electrónico imitan el diseño de HMRC y GOV.UK.
Estas páginas comprenden formularios que recopilan información confidencial del usuario, como:
- Número de referencia única del contribuyente (UTR)
- Número de seguro nacional (NINo)
- Número de pasaporte y fechas de vencimiento
- Número de permiso de conducir, con fecha de emisión y vencimiento.
- Nombre, fecha de nacimiento e información de dirección
La página de phishing está alojada en lo que parece ser un sitio web comprometido: https: // technicalzia[.]Net / tax /
TheAnalyst le dijo a que las cuentas “heredadas” proporcionadas por SendGrid hicieron que la plataforma se abriera al abuso por parte de los actores de amenazas.
“En este caso específico, HMRC tiene un buen registro DMARC que hace que la mayoría de los destinatarios simplemente los eliminen, pero cuando [los estafadores] falsifican otros dominios que realmente tienen sendgrid en SPF / DMARC es mucho peor”, explicó TheAnalyst .
Para entregar esta campaña de phishing de HMRC a sus víctimas, los atacantes falsificaron el campo De correo electrónico con la dirección de correo electrónico saliente del recaudador de impuestos: [email protected]
Debido a que los estafadores están utilizando la infraestructura de entrega de SendGrid, estos correos electrónicos “pasaron directamente por muchos filtros de correo”, explicó el investigador.
Un problema sin resolver en curso
SendGrid respondió al informe de TheAnalyst indicando que intentan mantener su plataforma segura contra estos actores de phishing.
La empresa advirtió que los informes de cualquier correo electrónico malicioso deben enviarse a su Equipo de confianza del consumidor para que puedan ser investigados y procesados.
Thank you for letting us know about this phishing attempt. We try to keep our platform clear from these kind of users. Please forward any suspicious/malicious emails to abuse[at]https://t.co/bvNGKzhAZM so the Consumer Trust Team can take action! Thank you for your collaboration!
— SendGrid (@SendGrid) December 2, 2020
Sin embargo, el investigador y otros usuarios de Twitter no parecían convencidos.
“Este problema ha estado sucediendo durante al menos medio año y han prometido solucionarlo a principios del próximo año, pero no estoy muy seguro”.
“Somos una empresa de Fortune1000 y el marketing utiliza Sendgrid, pero estoy haciendo todo lo posible para que esos contratos se rescindan y podamos bloquearlos en SPF / DMARC”, dijo TheAnalyst a BleepingComputer.
La principal preocupación del investigador es que, si bien SendGrid continúa diciéndoles a los usuarios que resolverían el problema mediante la verificación de la propiedad del dominio antes de permitirles enviar correos electrónicos, son las cuentas “heredadas” las que se ven comprometidas y son propensas al abuso por parte de los estafadores.
Durante el Día de Acción de Gracias, la plataforma de SendGrid fue abusada en una campaña masiva de suplantación de identidad de Zoom, según el investigador.
Se robaron miles de credenciales de usuarios como resultado del ataque.
A medida que se acerca el final del año, los usuarios deben permanecer atentos a cualquier estafa fiscal de phishing y smishing de HMRC.
Se recomienda a los destinatarios de correos electrónicos de phishing con cualquier mención de SendGrid que reenvíen dichos correos electrónicos a abuse [at] sendgrid.com, y que no hagan clic en ningún enlace dentro de ellos.
BleepingComputer se ha comunicado tanto con SendGrid como con la empresa matriz, Twilio, y estamos esperando más información.
