IT-kriminelle udnytter Salesforce Zero-Day-sårbarhed i udførligt Facebook Credential Phishing-angreb.
I et slående eksempel på cyberkrigsførelse har ondsindede aktører genialt udnyttet en hidtil ukendt fejl i Salesforces e-mail- og SMTP-tjenester. Deres sofistikerede phishing-kampagnes primære mål var at stjæle følsomme loginoplysninger fra Facebook-brugere. Gerningsmændene maskerede dygtigt deres handlinger ved at udnytte det velrenommerede Salesforce.com-domæne og dygtigt udnytte en svaghed i Facebooks webspilplatform og udmanøvrere traditionelle e-mail-sikkerhedsprotokoller.
Guardio Labs forskere afslørede cyberangreb
De kloge analytikere hos Guardio afslørede dette dristige cyberangreb og sporede dets oprindelse til phishing-e-mails prydet med @salesforce.com-adresser. Denne snedige list tillod angriberne at gøre brug af den autentiske Salesforce-infrastruktur. Deres strategi var afhængig af at udnytte en e-mail-valideringssårbarhed i Salesforces system, udnytte domænets iboende tillid blandt brugere og etablerede e-mail-sikkerhedsforanstaltninger.
Interessant nok foregav de svigagtige e-mails at være fra "Meta-platforme", der inkorporerede legitime links til Facebook-platformen. Dette smarte trick gav fidusen en følelse af legitimitet, hvilket gør det til en besværlig opgave for konventionelle anti-spam- og anti-phishing-mekanismer at forpurre.
Guardio Labs' Oleg Zaytsey og Nati Tal bemærkede klogt: "Inkluderingen af ​​ægte links (til facebook.com) og brugen af ​​en bona fide @salesforce.com-e-mailadresse, en fremtrædende aktør i CRM-arenaen, forklarer, hvorfor denne e-mail lykkedes. at omgå standard anti-spam og anti-phishing-forsvar."
SÃ¥dan foregik angrebet
Modtagere af disse vildledende e-mails blev dirigeret til et gyldigt Facebook-domæne, apps.facebook.com, via en indlejret knap. De ondsindede skuespillere havde dog manipuleret indholdet og hævdet, at modtagerne havde brudt Facebooks servicevilkår. En efterfølgende knap førte intetanende ofre til en phishing-side omhyggeligt designet til at indsamle personlige oplysninger – lige fra navne og kontooplysninger til e-mailadresser, telefonnumre og adgangskoder.
Det er vigtigt, at Salesforce forsikrede Guardio om, at der ikke var fremkommet beviser for kompromittering af kundedata. Den nul-dages sårbarhed, der er ansvarlig for dette alarmerende brud, er omgående blevet afhjulpet af Salesforces dedikerede sikkerhedsteam.
Udnyttelse af udgåede Facebook-spil
På den anden front udnyttede angriberne apps.facebook.com og skabte et ondsindet web-app-spil inden for platformens tilpassede lærreder. Mens Facebook havde ophævet muligheden for at skabe ældre spillærreder, var eksisterende spil, der gik før dette ophør, upåvirket. Dette smuthul blev genialt udnyttet af ondsindede agenter, som ulovligt manipulerede disse konti for deres lumske dagsorden.
Denne list gjorde det muligt for ondsindede at injicere ondsindet indhold direkte ind i Facebook-platformen, hvilket kulminerede i et phishing-kit, der var skræddersyet specifikt til at plyndre Facebook-konti, endda omgå to-faktor-autentificeringsmekanismer (2FA). Hurtig handling fra Facebooks moderselskab, Meta, førte til fjernelse af disse ondsindede konti og deres tilknyttede webspil.
Metas ingeniørteam bekræftede deres forpligtelse til at undersøge, hvorfor deres eksisterende detektions- og afbødningsprotokoller havde vaklet mod denne nye angrebsvektor.
Sikring af integriteten af ​​legitime postgateways
Udbredelsen af ​​phishing-angreb er fortsat en vedvarende trussel, hvor cyberkriminelle konstant innoverer for at udnytte denne form for social engineering. En foruroligende tendens involverer manipulation af tilsyneladende autentiske tjenester såsom CRM'er som Salesforce, marketingplatforme og cloud-baserede arbejdsområder for at udføre uhyggelige dagsordener. Dette udgør en væsentlig sikkerhedsudfordring, da konventionelle forsvarsmekanismer kæmper for at kæmpe med trusselsaktørernes udviklende taktik.
Som svar herpå skal tjenesteudbydere styrke deres sikkerhedsforanstaltninger for at imødegå misbrug af disse platforme i phishing-svindel, der udnytter sikre og velrenommerede mail-gateways. Dette indebærer styrkelse af verifikationsprocesser for at validere brugerægthed og vedtagelse af løbende aktivitetsanalyse for omgående at identificere og forhindre misbrug, uanset om det er gennem overdreven mængde eller gennemgang af metadata, såsom mailinglister og indholdsattributter.