SendGrid受到黑客账户的围攻

电子邮件服务提供商SendGrid正在努力应对数量异常多的客户账户，这些账户的密码被破解，卖给了垃圾邮件发送者，并被滥用来发送钓鱼和电子邮件恶意软件攻击。SendGrid的母公司Twilio表示，它正在制定一项计划，要求所有客户进行多因素身份验证，但对于在此期间遇到问题的组织来说，这个解决方案可能不够快。

许多公司使用SendGrid通过电子邮件与他们的客户沟通，或者付钱给营销公司，让他们使用SendGrid的系统来代表他们这样做。SendGrid采取措施验证新客户是否合法，以及通过其平台发送的电子邮件是否带有适当的数字签名，其他公司可以使用这些签名来验证这些消息是否得到了客户的授权。

但这也意味着，当SendGrid客户账户遭到黑客攻击并被用来发送恶意软件或网络钓鱼诈骗时，威胁尤其严重，因为大量组织允许来自SendGrid系统的电子邮件通过他们的垃圾邮件过滤系统。

更糟糕的是，通过SendGrid发送的电子邮件中包含的链接是模糊的(主要是为了跟踪递送能力和其他指标)，因此收件人不能立即清楚地知道，当他们点击时，他们会被带到互联网上的什么地方。

对于今天在网上开展业务的任何组织来说，处理泄露的客户账户都是一个持续不断的挑战，当然，SendGrid并不是唯一一个处理这一问题的电子邮件营销平台。但根据来自读者的多封电子邮件，最近几个反垃圾邮件讨论名单上的帖子，以及对反垃圾邮件社区人士的采访，在过去的几个月里，通过SendGrid的服务器发出的恶意、钓鱼和彻头彻尾的垃圾邮件明显增加。

罗布·麦克尤恩(Rob McEwen)是Invaluement.com的首席执行官，这是一家反垃圾邮件公司，其垃圾邮件趋势数据被用来改进几家财富100强公司部署的垃圾邮件拦截技术。McEwen说，没有其他电子邮件服务提供商能够像最近从SendGrid账户发出的垃圾邮件数量一样多。

他说：“至于令人讨厌的犯罪网络钓鱼和病毒，我认为在过去几个月里，SendGrid的情况有多糟糕，我认为连一秒钟都没有。”

试图过滤来自大型电子邮件提供商的坏电子邮件，而许多合法公司都依赖这些电子邮件来联系客户，这可能是一项冒险的业务。如果你过多地过滤电子邮件，你最终会收到数量不能接受的“误报”，即被标记为垃圾邮件并被发送到垃圾文件夹或完全被屏蔽的良性甚至合乎需要的电子邮件。

但麦克尤恩表示，来自SendGrid的恶意垃圾邮件的发生率已经变得如此严重，以至于他最近推出了一份新的反垃圾邮件阻止名单，专门过滤来自SendGrid账户的电子邮件，这些账户已知正在炮轰大量垃圾邮件或恶意电子邮件。

麦克尤恩说：“在我一周前在自己的过滤系统中实施这一功能之前，我每周都会收到三到四个愤怒的客户打来的电话或严厉的电子邮件，他们想知道为什么这些恶意电子邮件会进入他们的收件箱。”“就其他电子邮件服务提供商的病毒和垃圾邮件而言，我就是看不到任何如此恶劣的东西。”

在接受KrebsOnSecurity的采访时，SendGrid母公司Twilio承认，该公司最近发现被滥用垃圾邮件的泄露客户账户有所增加。虽然SendGrid确实允许客户使用多因素身份验证(也称为双因素身份验证或2FA)，但此保护不是强制性的。

但Twilio首席安全官史蒂夫·普格(Steve Pugh)表示，该公司正在努力做出改变，要求客户除了用户名和密码外，还必须使用某种形式的2FA。

Pugh说：“Twilio认为，对客户账户要求2FA是正确的做法，我们正在努力实现这一目标。”2FA已被证明是确保通信渠道安全的有力工具。这是我们收购Authy并创建一系列帐户安全产品和服务的部分原因。与其他平台一样，Twilio正在制定一项计划，内容是如何通过Authy等本地技术和额外的帐户级别控制来减轻已知的攻击媒介，从而更好地保护我们客户的帐户安全。“。

要求客户使用某种形式的2FA，将大大有助于中和受损SendGrid账户的地下市场，这些账户由各种网络罪犯出售，他们专门通过瞄准在多个网站上重复使用相同密码的用户来获得账户的访问权限。

其中一个人，在几个论坛上被称为“Kromatix”，目前正在出售对400多个被泄露的SendGrid用户账户的访问权限。附加到每个帐户的定价是基于它在给定月份可以发送的电子邮件数量。每月最多可以发送4万封电子邮件的账户售价为15美元，而那些每月能够炸毁1000万封邮件的账户售价为400美元。

Kromatix在8月23日的一篇销售帖子中写道：“我有大量被破解的SendGrid账户，这些账户可以用来生成API密钥，然后你可以将其插入到你选择的邮件中，并发送大量确保送达的电子邮件。”“SendGrid服务器在[电子邮件服务提供商]中保持着非常好的声誉，因此只要您的设置正确，您的内容就更有可能进入收件箱。”

反垃圾邮件组织Cauce的执行董事尼尔·施瓦茨曼(Neil Schwartzman)表示，SendGrid的2FA计划早就应该实施了，并指出该公司在2015年回购了Authy。

“我知道调用2FA是一项任务，考虑到SendGrid拥有的客户数量，这是一个需要考虑的问题，因为这将涉及到大量的客户管理费用，”他继续说。“但你的银行、社交媒体账户、电子邮件和许多其他在线网站并不是不坚持这样做。”

施瓦茨曼表示，如果Twilio不能迅速采取行动解决问题，世界上主要的电子邮件提供商(比如谷歌、微软和苹果)-以及他们的各种机器学习反垃圾邮件算法-可能会为他们做这件事。

“有一个临界点，在这个临界点之后，接收公司开始失去耐心，开始更积极地过滤这些东西，”他说。“如果根据机器学习查看SendGrid电子邮件成为滥用的迹象，相信我，即使人们不这样做，机器也会做出决定。”