Fournisseur de services de messagerie Grille d’envoi est aux prises avec un nombre inhabituellement élevé de comptes clients dont les mots de passe ont été piratés, vendus à des spammeurs et abusés pour envoyer des attaques de phishing et de logiciels malveillants par e-mail. Société mère de Sendgrid Twilio dit qu’il travaille sur un plan pour exiger une authentification multifacteur pour tous ses clients, mais cette solution peut ne pas être assez rapide pour les organisations qui ont du mal à gérer les retombées entre-temps.
De nombreuses entreprises utilisent Sendgrid pour communiquer avec leurs clients par e-mail, ou bien paient des sociétés de marketing pour le faire en leur nom en utilisant les systèmes de Sendgrid. Sendgrid prend des mesures pour valider que les nouveaux clients sont des entreprises légitimes et que les e-mails envoyés via sa plate-forme portent les signatures numériques appropriées que d’autres entreprises peuvent utiliser pour valider que les messages ont été autorisés par ses clients.
Mais cela signifie également que lorsqu’un compte client Sendgrid est piraté et utilisé pour envoyer des logiciels malveillants ou des escroqueries par hameçonnage, la menace est particulièrement aiguë car un grand nombre d’organisations permettent aux e-mails des systèmes de Sendgrid de naviguer à travers leurs systèmes de filtrage anti-spam.
Pour aggraver les choses, les liens inclus dans les e-mails envoyés via Sendgrid sont masqués (principalement pour le suivi de la délivrabilité et d’autres mesures), de sorte que les destinataires ne savent pas immédiatement où sur Internet ils seront redirigés lorsqu’ils cliqueront.
La gestion des comptes clients compromis est un défi constant pour toute organisation faisant des affaires en ligne aujourd’hui, et Sendgrid n’est certainement pas la seule plateforme de marketing par e-mail à faire face à ce problème. Mais selon plusieurs e-mails de lecteurs, des discussions récentes sur plusieurs anti-spam listes de discussionet des entretiens avec des membres de la communauté anti-spam, au cours des derniers mois, il y a eu une augmentation marquée des e-mails malveillants, phisous et carrément spammés diffusés via les serveurs de Sendgrid.
Rob Mc Ewen est PDG de Invaluement.com, une entreprise anti-spam dont les données sur les tendances du courrier indésirable sont utilisées pour améliorer les technologies de blocage du spam déployées par plusieurs entreprises du Fortune 100. McEwen a déclaré qu’aucun autre fournisseur de services de messagerie n’avait réussi à générer le volume de spam émanant des comptes Sendgrid ces derniers temps.
« En ce qui concerne les hameçonnages criminels et les virus malveillants, je pense qu’il n’y a même pas une seconde de près en ce qui concerne la gravité de la situation avec Sendgrid au cours des derniers mois », a-t-il déclaré.
Essayer de filtrer les mauvais e-mails provenant d’un fournisseur de messagerie majeur sur lequel tant d’entreprises légitimes comptent pour atteindre leurs clients peut être une entreprise risquée. Si vous filtrez les e-mails de manière trop agressive, vous vous retrouvez avec un nombre inacceptable de « faux positifs », c’est-à-dire des e-mails bénins ou même souhaitables qui sont signalés comme spam et envoyés dans le dossier de courrier indésirable ou complètement bloqués.
Mais McEwen a déclaré que l’incidence des spams malveillants provenant de Sendgrid était devenue si grave qu’il a récemment lancé une nouvelle liste de blocage anti-spam spécifiquement pour filtrer les e-mails des comptes Sendgrid connus pour diffuser de gros volumes de courrier indésirable ou malveillant.
« Avant d’implémenter cela dans mon propre système de filtrage il y a une semaine, je recevais trois à quatre appels téléphoniques ou e-mails sévères par semaine de clients en colère se demandant pourquoi ces e-mails malveillants arrivaient dans leur boîte de réception », a déclaré McEwen. « Et je ne vois rien d’aussi flagrant en termes de virus et de spams des autres fournisseurs de services de messagerie. »
Dans une interview avec BreachTrace, la société mère de Sendgrid, Twilio, a reconnu que la société avait récemment constaté une augmentation du nombre de comptes clients compromis abusés pour le spam. Bien que Sendgrid permette aux clients d’utiliser l’authentification multifacteur (également connue sous le nom d’authentification à deux facteurs ou 2FA), cette protection n’est pas obligatoire.
Mais Steve Pugh, chef de la sécurité de Twilio a déclaré que la société travaillait sur des changements qui obligeraient les clients à utiliser une forme de 2FA en plus des noms d’utilisateur et des mots de passe.
« Twilio pense qu’exiger 2FA pour les comptes clients est la bonne chose à faire, et nous travaillons dans ce sens », a déclaré Pugh. « 2FA s’est avéré être un outil puissant pour sécuriser les canaux de communication. C’est en partie la raison pour laquelle nous avons acquis Authy et créé une gamme de produits et services de sécurité de compte. Twilio, comme d’autres plates-formes, élabore un plan sur la manière de mieux sécuriser les comptes de nos clients grâce à des technologies natives telles que Authy et des contrôles supplémentaires au niveau du compte pour atténuer les vecteurs d’attaque connus.
Exiger que les clients utilisent une forme de 2FA contribuerait grandement à neutraliser le marché souterrain des comptes Sendgrid compromis, qui sont vendus par une variété de cybercriminels qui se spécialisent dans l’accès aux comptes en ciblant les utilisateurs qui réutilisent les mêmes mots de passe sur plusieurs sites Internet.
L’un de ces individus, qui s’appelle « Kromatix » sur plusieurs forums, vend actuellement l’accès à plus de 400 comptes d’utilisateurs Sendgrid compromis. La tarification attachée à chaque compte est basée sur le volume d’e-mails qu’il peut envoyer au cours d’un mois donné. Les comptes qui peuvent envoyer jusqu’à 40 000 e-mails par mois coûtent 15 $, tandis que ceux capables de faire exploser 10 millions de missives par mois se vendent 400 $.
« J’ai une grande quantité de comptes Sendgrid piratés qui peuvent être utilisés pour générer une clé API que vous pouvez ensuite brancher sur votre expéditeur de choix et envoyer des quantités massives d’e-mails avec une livraison assurée », a écrit Kromatix dans un fil de vente du 23 août. « Les serveurs Sendgrid conservent une très bonne réputation auprès des [email service providers] votre contenu devient donc beaucoup plus susceptible d’entrer dans la boîte de réception tant que votre configuration est correcte.
Neil Schwartzmanndirecteur exécutif du groupe anti-spam CAUCÉa déclaré que les plans 2FA de Sendgrid étaient attendus depuis longtemps, notant que la société avait racheté Authy en 2015.
« L’authentification à facteur unique pour une entreprise comme celle-ci en 2020 est tout simplement ridicule compte tenu des dommages potentiels et du contenu malveillant que nous constatons« , a déclaré Schwartzman.
« Je comprends que c’est une tâche d’invoquer 2FA, et étant donné le volume de clients que Sendgrid a, c’est quelque chose à considérer car il y aura beaucoup de frais généraux pour les clients impliqués », a-t-il poursuivi. « Mais ce n’est pas comme si votre banque, votre compte de réseau social, votre e-mail et de nombreux autres endroits en ligne n’insistaient pas déjà. »
Schwartzman a déclaré que si Twilio n’agissait pas assez rapidement pour résoudre le problème de son côté, les principaux fournisseurs de messagerie du monde (pensez à Google, Microsoft et Apple) – et leurs divers algorithmes anti-spam d’apprentissage automatique – pourraient le faire pour eux. .
« Il y a un point de basculement après lequel les entreprises réceptrices commencent à perdre patience et commencent à filtrer plus agressivement ce genre de choses », a-t-il déclaré. « Si voir un e-mail Sendgrid selon l’apprentissage automatique devient un signe d’abus, croyez-moi, les machines prendront les décisions même si les gens ne le font pas. »