Sendgrid bajo asedio de cuentas pirateadas – Krebs on Security


Proveedor de servicios de correo electrónico Sendgrid está lidiando con una cantidad inusualmente grande de cuentas de clientes cuyas contraseñas han sido descifradas, vendidas a spammers y abusadas para enviar ataques de phishing y malware por correo electrónico. Empresa matriz de Sendgrid Twilio dice que está trabajando en un program para exigir la autenticación multifactor para todos sus clientes, pero es posible que esa solución no llegue lo suficientemente rápido para las organizaciones que tienen problemas para lidiar con las consecuencias mientras tanto.

Imagen: Wikipedia

Muchas empresas utilizan Sendgrid para comunicarse con sus clientes por correo electrónico, o bien pagan a las empresas de promoting para que lo hagan en su nombre utilizando los sistemas de Sendgrid. Sendgrid toma medidas para validar que los nuevos clientes son negocios legítimos y que los correos electrónicos enviados a través de su plataforma llevan las firmas digitales adecuadas que otras empresas pueden usar para validar que los mensajes han sido autorizados por sus clientes.

Pero esto también significa que cuando una cuenta de cliente de Sendgrid es pirateada y utilizada para enviar malware o estafas de phishing, la amenaza es particularmente aguda porque una gran cantidad de organizaciones permiten que el correo electrónico de los sistemas de Sendgrid navegue a través de sus sistemas de filtrado de spam.

Para empeorar las cosas, los enlaces incluidos en los correos electrónicos enviados a través de Sendgrid están ofuscados (principalmente para rastrear la capacidad de entrega y otras métricas), por lo que los destinatarios no tienen claro de inmediato a qué lugar de World-wide-web serán llevados cuando hagan clic.

Tratar con cuentas de clientes comprometidas es un desafío constante para cualquier organización que hace negocios en línea en la actualidad, y ciertamente Sendgrid no es la única plataforma de promoting por correo electrónico que se ocupa de este problema. Pero según varios correos electrónicos de lectores, los hilos recientes en varios anti-spam listas de discusión, y entrevistas con personas de la comunidad antispam, en los últimos meses ha habido un marcado aumento en el envío de correos electrónicos maliciosos, fraudulentos y directamente spam a través de los servidores de Sendgrid.

Rob McEwen es CEO de Invaluement.com, una empresa antispam cuyos datos sobre las tendencias del correo electrónico no deseado se utilizan para mejorar las tecnologías de bloqueo de spam implementadas por varias empresas de Fortune 100. McEwen dijo que ningún otro proveedor de servicios de correo electrónico se ha acercado a generar el volumen de spam que ha estado emanando de las cuentas de Sendgrid últimamente.

«En cuanto a los virus y phishing criminales desagradables, creo que ni siquiera hay un segundo lugar cercano en términos de lo mal que ha estado con Sendgrid durante los últimos meses», dijo.

Tratar de filtrar los correos electrónicos incorrectos provenientes de un importante proveedor de correo electrónico en el que muchas empresas legítimas confían para llegar a sus clientes puede ser un negocio arriesgado. Si filtra los correos electrónicos de forma demasiado agresiva, termina con una cantidad inaceptable de «falsos positivos», es decir, correos electrónicos benignos o incluso deseables que se marcan como spam y se envían a la carpeta de correo no deseado o se bloquean por completo.

Pero McEwen dijo que la incidencia de spam malicioso proveniente de Sendgrid ha empeorado tanto que recientemente lanzó una nueva lista de bloqueo anti-spam específicamente para filtrar el correo electrónico de las cuentas de Sendgrid que se sabe que están destruyendo grandes volúmenes de correo basura o malicioso.

“Antes de implementar esto en mi propio sistema de filtrado hace una semana, recibía de tres a cuatro llamadas telefónicas o correos electrónicos severos a la semana de clientes enojados que se preguntaban por qué estos correos electrónicos maliciosos llegaban a sus bandejas de entrada”, dijo McEwen. «Y no veo nada tan atroz en términos de virus y spam de los otros proveedores de servicios de correo electrónico».

En una entrevista con KrebsOnSecurity, la empresa matriz de Sendgrid, Twilio, reconoció que la compañía había visto recientemente un aumento en las cuentas de clientes comprometidas que se usaban para spam. Si bien Sendgrid permite a los clientes utilizar la autenticación multifactor (también conocida como autenticación de dos factores o 2FA), esta protección no es obligatoria.

Pero Steve Pugh, director de seguridad de Twilio dijo que la compañía está trabajando en cambios que requerirían que los clientes usen algún tipo de 2FA además de nombres de usuario y contraseñas.

«Twilio cree que exigir 2FA para las cuentas de los clientes es lo correcto, y estamos trabajando para lograrlo», dijo Pugh. “2FA ha demostrado ser una herramienta poderosa para asegurar los canales de comunicación. Esta es parte de la razón por la que adquirimos Authy y creamos una línea de productos y servicios de seguridad de cuentas. Twilio, al igual que otras plataformas, está elaborando un system sobre cómo proteger mejor las cuentas de nuestros clientes a través de tecnologías nativas como Authy y controles de nivel de cuenta adicionales para mitigar los vectores de ataque conocidos «.

Exigir a los clientes que usen algún tipo de 2FA contribuiría en gran medida a neutralizar el mercado clandestino de cuentas de Sendgrid comprometidas, que son vendidas por una variedad de ciberdelincuentes que se especializan en obtener acceso a cuentas dirigiéndose a usuarios que reutilizan las mismas contraseñas en múltiples sitios world-wide-web.

Uno de esos individuos, que se conoce con el nombre de «Kromatix» en varios foros, actualmente vende acceso a más de 400 cuentas de usuario de Sendgrid comprometidas. El precio adjunto a cada cuenta se basa en el volumen de correo electrónico que puede enviar en un mes determinado. Las cuentas que pueden enviar hasta 40.000 correos electrónicos al mes cuestan $ 15, mientras que las que pueden enviar 10 millones de misivas al mes se venden por $ 400.

«Tengo una gran cantidad de cuentas de Sendgrid agrietadas que pueden usarse para generar una clave API que luego puede conectar a su correo de elección y enviar cantidades masivas de correos electrónicos con entrega garantizada», escribió Kromatix en un hilo de ventas del 23 de agosto. «Los servidores de Sendgrid mantienen una muy buena reputación con (los proveedores de servicios de correo electrónico), por lo que es mucho más probable que su contenido ingrese a la bandeja de entrada siempre que su configuración sea correcta».

Neil Schwartzman, director ejecutivo del grupo anti-spam CAUCE, dijo que los planes 2FA de Sendgrid están retrasados, y señaló que la compañía compró Authy en 2015.

«La autenticación de un solo component para una empresa como esta en 2020 es simplemente ridícula dado el daño potencial y el contenido malicioso que estamos viendo”, Dijo Schwartzman.

«Entiendo que es una tarea invocar 2FA, y dado el volumen de clientes que tiene Sendgrid, eso es algo a considerar porque habrá una gran cantidad de gastos generales involucrados», continuó. «Pero no es como si su banco, cuenta de redes sociales, correo electrónico y muchos otros lugares en línea no insistieran en ello».

Schwartzman dijo que si Twilio no actúa lo suficientemente rápido para solucionar el problema en su extremo, los principales proveedores de correo electrónico del mundo (piense en Google, Microsoft y Apple), y sus diversos algoritmos antispam de aprendizaje automático, pueden hacerlo por ellos. .

“Hay un punto de inflexión después del cual las empresas receptoras comienzan a perder la paciencia y comienzan a filtrar estas cosas de manera más agresiva”, dijo. «Si ver un correo electrónico de Sendgrid según el aprendizaje automático se convierte en una señal de abuso, créame, las máquinas tomarán las decisiones incluso si las personas no lo hacen».


Etiquetas: CAUCE, Invaluement.com, Kromatix, Neil Schwartzman, Rob McEwen, Sendgrid, Steve Pugh, Twilio

Esta entrada se publicó el viernes 28 de agosto de 2020 a las 9:59 am y está archivada en Un poco de sol, la tormenta que se avecina.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el remaining y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia initial