Language
Campanha de phishing explorou falha do Salesforce para atacar usuários do Facebook
LarLar > Notícias > Campanha de phishing explorou falha do Salesforce para atacar usuários do Facebook
ÚLTIMAS NOTÍCIAS

Campanha de phishing explorou falha do Salesforce para atacar usuários do Facebook

Oct 31, 2023

Home » Security Boulevard (Original) » Campanha de phishing explorou falha do Salesforce para atacar usuários do Facebook

Malfeitores desconhecidos executaram uma sofisticada campanha de phishing que explorou uma falha de dia zero nos serviços de e-mail da Salesforce, permitindo que os hackers se escondessem atrás da legitimidade do gigante da nuvem enquanto tentavam roubar informações de contas do Facebook.

Aproveitando uma vulnerabilidade que os pesquisadores do Guardio Labs apelidaram de “PhishForce”, os invasores criaram e-mails que pareciam vir da empresa-mãe do Facebook, Meta, e incluíam o domínio “@salesforce.com”, permitindo-lhes passar despercebidos pelas proteções de segurança tradicionais, como gateways e filtros.

Os nomes Meta e Salesforce dão à mensagem um ar de confiabilidade, e o usuário-alvo pode ter maior probabilidade de clicar no e-mail.

“Portanto, é óbvio por que vimos este e-mail escapando dos mecanismos tradicionais anti-spam e anti-phishing”, escreveram os pesquisadores do Guardio Labs, Oleg Zaytsev e Nati Tal, em um relatório. “Inclui links legítimos (para facebook.com) e é enviado de um endereço de e-mail legítimo de @salesforce.com, um dos principais fornecedores de CRM [gerenciamento de relacionamento com o cliente] do mundo.”

Os serviços de gateway de e-mail – como o serviço Salesforce abusado nesta campanha – enviam regularmente um grande número de e-mails para tudo, desde propostas de produtos até anúncios. Isso ajuda os agentes de ameaças que enviam e-mails maliciosos por meio desses serviços legítimos, dando-lhes “não apenas volume, mas também acesso à reputação desses gateways, geralmente colocando seus IPs e domínios na lista de permissões de uma organização ou mesmo em toda a rede”, escreveram os pesquisadores. .

O e-mail de phishing que chegou à caixa de correio do alvo mencionava-o pelo nome, informando que sua conta do Facebook estava sendo investigada devido a “suspeitas de envolvimento em falsificação de identidade” e incorporou uma caixa azul na parte inferior da página na qual o usuário poderia clicar para “solicitar uma revisão.”

Isso os enviou para uma página de destino hospedada como um jogo na plataforma de aplicativos do Facebook e que usa o domínio apps.facebook.com. Este é mais um passo para convencer o usuário da legitimidade do email. É aqui que os invasores roubam as credenciais da conta do Facebook e as informações de autenticação de dois fatores (2FA).

O recurso Email Gateway da Salesforce faz parte de seu sistema CRM mais amplo e permite que os clientes enviem notificações e mensagens por e-mail em massa. Antes de qualquer coisa ser enviada, o Salesforce faz com que os clientes se validem verificando um endereço de e-mail para garantir que sejam proprietários do nome de domínio sob o qual suas mensagens em massa são enviadas.

“Apenas clicar no link de verificação enviado para a caixa de entrada de e-mail desejada dará ao back-end do Salesforce a permissão para configurar e-mails de saída de acordo”, escreveram Zaytsev e Tal.

Dito isso, os pesquisadores inicialmente não conseguiram descobrir como os hackers poderiam passar pelos recursos de segurança que tornavam muito difícil fazer com que o serviço de e-mail Salesforce enviasse um e-mail de verificação. Eles descobriram que os invasores conseguiram manipular o recurso Email-to-Case do Salesforce, que as empresas usam para converter automaticamente e-mails recebidos em tickets acionáveis ​​para suas equipes de suporte.

Os pesquisadores disseram que é um recurso comum usado apenas para e-mails recebidos, mas de alguma forma os hackers conseguiram enviar mensagens usando o endereço exato. Eles obtiveram o controle de um endereço de e-mail gerado pelo Salesforce criando um novo fluxo Email-to-Case e depois o verificaram como um “Endereço de e-mail para toda a organização”, com o Mass Mailer Gateway da Salesforce usando o endereço no fluxo de saída oficial. Os hackers então usaram esse endereço para verificar a propriedade do nome de domínio.

Com a verificação em mãos, eles poderiam usar o endereço de e-mail do Salesforce para enviar mensagens que contornassem outras proteções antiphishing e antispam.

Saeed Abbasi, gerente de pesquisa de vulnerabilidades e ameaças da empresa de segurança cibernética Qualys, disse ao Security Boulevard que o ataque “não foi um simples golpe de e-mail, mas um complexo entrelaçamento de vulnerabilidades em múltiplas plataformas e serviços”.