Provedor de email em apuros
O provedor de serviços de e-mail Sendgrid está lutando com um número excepcionalmente grande de contas de clientes cujas senhas foram quebradas, vendidas para spammers e abusadas para enviar ataques de phishing e malware por e-mail.
Empresa-mãe da Sendgrid Twilio diz que está trabalhando em um plano para exigir autenticação multi-fator para todos os seus clientes, mas essa solução não pode vir rápido o suficiente para organizações com tráfico de problemas com a precipitação no mesmo período.
Muitas empresas usam Sendgrid para se comunicar com seus clientes por e-mail, ou então pagam empresas de marketing para fazer isso em seu nome usando os sistemas Sendgrid. Sendgrid toma medidas para validar que novos clientes são negócios legítimos, e que e-mails enviados por meio de sua plataforma carregam as assinaturas digitais adequadas que outras empresas podem usar para validar que as mensagens foram autorizadas por seus clientes.
Mas isso também significa que quando uma conta de cliente Sendgrid é hackeada e usada para enviar malware ou golpes de phishing, a ameaça é particularmente aguda porque um grande número de organizações permite que e-mails dos sistemas Sendgrid passem por seus sistemas de filtragem de spam.
Para piorar a situação, os links incluídos em e-mails enviados por meio do Sendgrid são ofuscados (principalmente para rastrear a capacidade de entrega e outras métricas), de modo que não fica imediatamente claro para os destinatários para onde na Internet eles serão levados quando clicarem.
Lidar com contas de clientes comprometidas é um desafio constante para qualquer organização que faz negócios online hoje, e certamente Sendgrid não é a única plataforma de marketing por e-mail lidando com esse problema. Mas, de acordo com vários e-mails de leitores, tópicos recentes em várias listas de discussão anti-spam e entrevistas com pessoas na comunidade anti-spam, nos últimos meses houve um aumento acentuado na explosão de e-mails maliciosos, phishous e spam. através dos servidores do Sendgrid.
Rob McEwen é CEO da Invaluement.com , uma empresa anti-spam cujos dados sobre tendências de lixo eletrônico são usados para melhorar as tecnologias de bloqueio de spam implantadas por várias empresas da Fortune 100. McEwen disse que nenhum outro provedor de serviço de e-mail chegou perto de gerar o volume de spam que vem das contas Sendgrid recentemente.
“No que diz respeito aos sórdidos phishing e vírus criminosos, acho que não há nem um segundo em termos de quão ruim tem sido com Sendgrid nos últimos meses”, disse ele.
Tentar filtrar e-mails ruins vindos de um grande provedor de e-mail no qual tantas empresas legítimas dependem para chegar a seus clientes pode ser um negócio arriscado. Se você filtrar os e-mails de forma muito agressiva, acabará com um número inaceitável de “falsos positivos”, ou seja, e-mails benignos ou mesmo desejáveis que são sinalizados como spam e enviados para a pasta de lixo eletrônico ou totalmente bloqueados.
Mas McEwen disse que a incidência de spam malicioso proveniente de Sendgrid ficou tão ruim que ele lançou recentemente uma nova lista de bloqueio anti-spam especificamente para filtrar e-mail de contas Sendgrid que são conhecidas por gerar grandes volumes de lixo eletrônico ou e-mail malicioso.
“Antes de implementar isso em meu próprio sistema de filtragem, há uma semana, eu recebia de três a quatro ligações ou e-mails severos por semana de clientes irritados que se perguntavam por que esses e-mails maliciosos estavam chegando às suas caixas de entrada”, disse McEwen. “E eu simplesmente não estou vendo nada tão notório em termos de vírus e spams de outros provedores de serviço de e-mail.”
Em uma entrevista com a KrebsOnSecurity, a empresa controladora da Sendgrid, Twilio, reconheceu que a empresa viu recentemente um aumento no número de contas de clientes comprometidas sendo abusadas para spam. Embora o Sendgrid permita que os clientes usem a autenticação multifator (também conhecida como autenticação de dois fatores ou 2FA), essa proteção não é obrigatória.
Mas o diretor de segurança da Twilio, Steve Pugh, disse que a empresa está trabalhando em mudanças que exigirão que os clientes usem alguma forma de 2FA além de nomes de usuário e senhas.
“Twilio acredita que exigir 2FA para contas de clientes é a coisa certa a se fazer e estamos trabalhando para isso”, disse Pugh. “2FA provou ser uma ferramenta poderosa na segurança de canais de comunicação. Essa é parte da razão pela qual adquirimos a Authy e criamos uma linha de produtos e serviços de segurança de contas. Twilio, como outras plataformas, está formando um plano sobre como proteger melhor as contas de nossos clientes por meio de tecnologias nativas, como Authy e controles de nível de conta adicionais para mitigar vetores de ataque conhecidos. ”
Exigir que os clientes usem alguma forma de 2FA ajudaria muito a neutralizar o mercado clandestino de contas Sendgrid comprometidas, que são vendidas por uma variedade de cibercriminosos especializados em obter acesso a contas, visando usuários que reutilizam as mesmas senhas em vários sites.
Um desses indivíduos, que atende pelo apelido de “Kromatix” em vários fóruns, está atualmente vendendo acesso a mais de 400 contas de usuários Sendgrid comprometidas. O preço vinculado a cada conta é baseado no volume de e-mail que ela pode enviar em um determinado mês. Contas que podem enviar até 40.000 e-mails por mês custam US $ 15, enquanto aquelas capazes de enviar 10 milhões de mensagens por mês são vendidas por US $ 400.
“Tenho um grande suprimento de contas crackeadas do Sendgrid que podem ser usadas para gerar uma chave de API que você pode conectar na mala direta de sua escolha e enviar grandes quantidades de e-mails com entrega garantida”, escreveu Kromatix em um tópico de vendas em 23 de agosto. “Os servidores Sendgrid mantêm uma reputação muito boa com [provedores de serviço de e-mail] para que seu conteúdo seja muito mais provável de entrar na caixa de entrada, desde que sua configuração esteja correta.”
Neil Schwartzman , diretor executivo do grupo anti-spam CAUCE , disse que os planos 2FA da Sendgrid estão atrasados, observando que a empresa comprou a Authy em 2015.
A autenticação de fator único para uma empresa como esta em 2020 é simplesmente ridícula, dado o dano potencial e o conteúdo malicioso que estamos vendo
“ A autenticação de fator único para uma empresa como esta em 2020 é simplesmente ridícula, dado o dano potencial e o conteúdo malicioso que estamos vendo ”, disse Schwartzman.
“Eu entendo que invocar a 2FA é uma tarefa e, dado o volume de clientes que a Sendgrid tem, isso é algo a se considerar porque haverá uma grande sobrecarga do cliente envolvida”, continuou ele. “Mas não é como se seu banco, conta de mídia social, e-mail e muitos outros lugares online ainda não insistissem nisso.”
Schwartzman disse que se Twilio não agir rápido o suficiente para corrigir o problema, os principais provedores de e-mail do mundo (como Google, Microsoft e Apple) – e seus vários algoritmos anti-spam de aprendizado de máquina – podem fazer isso por eles .
“Há um ponto crítico após o qual as empresas receptoras começam a perder a paciência e a filtrar mais agressivamente essas coisas”, disse ele. “Se ver um e-mail Sendgrid de acordo com o aprendizado de máquina se tornar um sinal de abuso, acredite que as máquinas tomarão as decisões, mesmo que as pessoas não tomem.”
Fonte: https://krebsonsecurity.com/2020/08/sendgrid-under-siege-from-hacked-accounts/
Imagem: wikipedia.org
