Language
Una campagna di phishing ha sfruttato la falla di Salesforce per attaccare gli utenti di Facebook
CasaCasa > Notizia > Una campagna di phishing ha sfruttato la falla di Salesforce per attaccare gli utenti di Facebook
ULTIME NOTIZIE

Una campagna di phishing ha sfruttato la falla di Salesforce per attaccare gli utenti di Facebook

Oct 31, 2023

Home » Security Boulevard (Originale) » Una campagna di phishing ha sfruttato un difetto di Salesforce per attaccare gli utenti di Facebook

Malintenzionati sconosciuti hanno condotto una sofisticata campagna di phishing che ha sfruttato una falla zero-day nei servizi di posta elettronica di Salesforce, consentendo agli hacker di nascondersi dietro la legittimità del gigante del cloud mentre tentavano di rubare informazioni dagli account Facebook.

Sfruttando una vulnerabilità che i ricercatori di Guardio Labs hanno soprannominato “PhishForce”, gli aggressori hanno creato e-mail che sembravano provenire dalla società madre di Facebook Meta e includevano il dominio “@salesforce.com”, consentendo loro di oltrepassare le tradizionali protezioni di sicurezza come gateway e filtri.

I nomi Meta e Salesforce conferiscono al messaggio un'aria di affidabilità e l'utente target potrebbe avere maggiori probabilità di fare clic sull'e-mail.

"Quindi è ovvio il motivo per cui abbiamo visto queste e-mail sfuggire ai tradizionali meccanismi anti-spam e anti-phishing", hanno scritto in un rapporto i ricercatori di Guardio Labs Oleg Zaytsev e Nati Tal. "Include collegamenti legittimi (a Facebook.com) e viene inviato da un indirizzo email legittimo di @salesforce.com, uno dei principali fornitori di CRM [di gestione delle relazioni con i clienti] a livello mondiale."

I servizi gateway di posta elettronica, come il servizio Salesforce di cui si è abusato in questa campagna, inviano regolarmente un numero enorme di e-mail per qualsiasi cosa, dalle presentazioni di prodotti alle pubblicità. Ciò aiuta gli autori delle minacce che inviano e-mail dannose attraverso tali servizi legittimi, offrendo loro "non solo volume ma anche accesso alla reputazione di tali gateway, di solito inserendo i loro IP e domini nella whitelist di un'organizzazione o addirittura a livello di rete", hanno scritto i ricercatori. .

L'e-mail di phishing arrivata nella casella di posta del bersaglio li menzionava per nome, dicendo loro che il loro account Facebook era sotto indagine a causa di "sospetti di furto d'identità" e incorporava una casella blu in fondo alla pagina su cui l'utente poteva cliccare per "richiedi una revisione."

In questo modo li hanno inviati a una pagina di destinazione ospitata come gioco nella piattaforma delle app di Facebook e che utilizza il dominio apps.facebook.com. Questo è un altro passo per convincere l'utente della legittimità dell'e-mail. È qui che gli aggressori rubano le credenziali dell'account Facebook e le informazioni sull'autenticazione a due fattori (2FA).

La funzionalità Email Gateway di Salesforce fa parte del suo sistema CRM più ampio e consente ai clienti di inviare notifiche e messaggi e-mail di massa. Prima che venga inviato qualsiasi cosa, Salesforce chiede ai clienti di convalidarsi verificando un indirizzo e-mail per assicurarsi di possedere il nome di dominio con cui vengono inviati i loro messaggi di massa.

"Solo facendo clic sul collegamento di verifica inviato alla casella di posta elettronica desiderata si darà al backend di Salesforce il permesso di configurare di conseguenza le e-mail in uscita", hanno scritto Zaytsev e Tal.

Detto questo, i ricercatori inizialmente non sono stati in grado di scoprire come gli hacker potessero superare le funzionalità di sicurezza che rendevano estremamente difficile ottenere dal servizio di posta elettronica Salesforce l’invio di un’e-mail di verifica. Hanno scoperto che gli aggressori erano in grado di manipolare la funzione Email-to-Case di Salesforce, che le aziende utilizzano per convertire automaticamente le e-mail in entrata in ticket utilizzabili per i loro team di supporto.

I ricercatori hanno affermato che si tratta di una funzionalità comune utilizzata solo per le e-mail in entrata, ma in qualche modo gli hacker sono riusciti a inviare messaggi utilizzando l'indirizzo esatto. Hanno acquisito il controllo di un indirizzo email generato da Salesforce creando un nuovo flusso Email a caso e quindi verificandolo come un "indirizzo email a livello di organizzazione", con Mass Mailer Gateway di Salesforce che utilizzava l'indirizzo nel flusso in uscita ufficiale. Gli hacker hanno quindi utilizzato quell'indirizzo per verificare la proprietà del nome di dominio.

Con la verifica in mano, potevano utilizzare l'indirizzo e-mail di Salesforce per inviare messaggi che aggiravano altre protezioni anti-phishing e anti-spam.

Saeed Abbasi, responsabile della ricerca sulle vulnerabilità e sulle minacce presso la società di sicurezza informatica Qualys, ha dichiarato a Security Boulevard che l'attacco "non è stato una semplice truffa via email ma un complesso intreccio di vulnerabilità su più piattaforme e servizi".