Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
ДомФишинговая кампания использовала уязвимость Salesforce для атаки на пользователей Facebook
Главная » Бульвар Безопасности (Оригинал) » Фишинговая кампания использовала уязвимость отдела продаж для атаки на пользователей Facebook
Неизвестные злоумышленники провели сложную фишинговую кампанию, в которой использовалась уязвимость нулевого дня в почтовых службах Salesforce, что позволило хакерам скрыться за легитимностью облачного гиганта и попытаться украсть информацию из учетных записей Facebook.
Воспользовавшись уязвимостью, которую исследователи Guardio Labs назвали «PhishForce», злоумышленники создали электронные письма, которые, по-видимому, исходили от материнской компании Facebook Meta и включали домен «@salesforce.com», что позволило им обойти традиционные средства защиты, такие как шлюзы и фильтры.
Имена Meta и Salesforce придают сообщению вид заслуживающий доверия, и целевой пользователь с большей вероятностью нажмет на электронное письмо.
«Поэтому нетрудно понять, почему мы увидели, как это электронное письмо ускользнуло через традиционные механизмы защиты от спама и фишинга», — написали в отчете исследователи Guardio Labs Олег Зайцев и Нати Тал. «Он содержит законные ссылки (на facebook.com) и отправлен с законного адреса электронной почты @salesforce.com, одного из ведущих в мире поставщиков CRM [управления взаимоотношениями с клиентами]».
Службы шлюзов электронной почты, такие как служба Salesforce, которой злоупотребляли в этой кампании, регулярно рассылают огромное количество электронных писем по всем вопросам, от презентаций продуктов до рекламных объявлений. Это помогает злоумышленникам, которые рассылают вредоносные электронные письма через такие законные службы, предоставляя им «не только объем, но и доступ к репутации этих шлюзов, обычно внося их IP-адреса и домены в белый список в организации или даже во всей сети», пишут исследователи. .
В фишинговом письме, пришедшем в почтовый ящик жертвы, упоминалось их имя, сообщалось, что их учетная запись Facebook расследуется из-за «подозрений в выдаче себя за другое лицо», и в нижней части страницы было встроено синее поле, на которое пользователь мог нажать, чтобы перейти. «запросить проверку».
При этом они перешли на целевую страницу, которая размещена как игра на платформе приложений Facebook и использует домен apps.facebook.com. Это еще один шаг к убеждению пользователя в легитимности электронной почты. Именно здесь злоумышленники крадут учетные данные учетной записи Facebook и информацию двухфакторной аутентификации (2FA).
Функция Email Gateway Salesforce является частью более крупной CRM-системы и позволяет клиентам рассылать массовые уведомления и сообщения по электронной почте. Прежде чем что-либо будет отправлено, Salesforce предлагает клиентам подтвердить свою личность, проверив адрес электронной почты, чтобы убедиться, что они владеют доменным именем, под которым отправляются их массовые сообщения.
«Только нажатие на ссылку подтверждения, отправленную на желаемый почтовый ящик, даст серверу Salesforce разрешение соответствующим образом настроить исходящие электронные письма», — написали Зайцев и Таль.
Тем не менее, исследователи изначально не смогли понять, как хакеры могли обойти функции безопасности, из-за которых было очень сложно заставить почтовую службу Salesforce отправить письмо с подтверждением. Они обнаружили, что злоумышленники смогли манипулировать функцией Salesforce Email-to-Case, которую предприятия используют для автоматического преобразования входящих электронных писем в действенные заявки для своих групп поддержки.
Исследователи заявили, что это обычная функция, используемая только для входящих электронных писем, но хакерам каким-то образом удалось отправлять сообщения, используя точный адрес. Они получили контроль над адресом электронной почты, сгенерированным Salesforce, создав новый поток «Email-to-Case», а затем подтвердили его как «адрес электронной почты всей организации», при этом шлюз массовой рассылки Salesforce использовал адрес в официальном исходящем потоке. Затем хакеры использовали этот адрес для проверки владения доменным именем.
Имея подтверждение, они могли использовать адрес электронной почты Salesforce для рассылки сообщений, которые обходили другие средства защиты от фишинга и спама.
Саид Аббаси, менеджер по исследованию уязвимостей и угроз компании Qualys, занимающейся кибербезопасностью, рассказал Security Boulevard, что атака «была не простым мошенничеством по электронной почте, а сложным переплетением уязвимостей на нескольких платформах и сервисах».