Language
Phishing-Kampagne nutzte Salesforce-Schwachstelle aus, um Facebook-Benutzer anzugreifen
HeimHeim > Nachricht > Phishing-Kampagne nutzte Salesforce-Schwachstelle aus, um Facebook-Benutzer anzugreifen
NEUESTEN NACHRICHTEN

Phishing-Kampagne nutzte Salesforce-Schwachstelle aus, um Facebook-Benutzer anzugreifen

Oct 31, 2023

Startseite » Security Boulevard (Original) » Phishing-Kampagne nutzt Salesforce-Schwachstelle aus, um Facebook-Benutzer anzugreifen

Unbekannte Kriminelle führten eine raffinierte Phishing-Kampagne durch, die eine Zero-Day-Schwachstelle in den E-Mail-Diensten von Salesforce ausnutzte und es den Hackern ermöglichte, sich hinter der Legitimität des Cloud-Riesen zu verstecken und gleichzeitig zu versuchen, Informationen aus Facebook-Konten zu stehlen.

Unter Ausnutzung einer Schwachstelle, die Guardio Labs-Forscher „PhishForce“ nannten, erstellten die Angreifer E-Mails, die scheinbar von der Facebook-Muttergesellschaft Meta stammten und die Domäne „@salesforce.com“ enthielten, wodurch sie an herkömmlichen Sicherheitsmaßnahmen wie Gateways und Filtern vorbeikommen konnten.

Die Namen „Meta“ und „Salesforce“ verleihen der Nachricht einen Hauch von Vertrauenswürdigkeit, und der Zielbenutzer klickt möglicherweise eher auf die E-Mail.

„Es ist also ein Kinderspiel, warum diese E-Mail die traditionellen Anti-Spam- und Anti-Phishing-Mechanismen passiert hat“, schrieben die Guardio Labs-Forscher Oleg Zaytsev und Nati Tal in einem Bericht. „Es enthält legitime Links (zu facebook.com) und wird von einer legitimen E-Mail-Adresse von @salesforce.com gesendet, einem der weltweit führenden CRM-Anbieter für [Kundenbeziehungsmanagement].“

E-Mail-Gateway-Dienste – wie der in dieser Kampagne missbrauchte Salesforce-Dienst – versenden regelmäßig große Mengen an E-Mails für alles, von Produktpräsentationen bis hin zu Werbung. Dies hilft Bedrohungsakteuren, die bösartige E-Mails über solche legitimen Dienste versenden, und verschafft ihnen „nicht nur Volumen, sondern auch Zugriff auf die Reputation dieser Gateways, sodass ihre IPs und Domänen normalerweise in einer Organisation oder sogar im gesamten Netzwerk auf die Whitelist gesetzt werden“, schreiben die Forscher .

In der Phishing-E-Mail, die im Postfach der Zielperson einging, wurden sie namentlich erwähnt und mitgeteilt, dass ihr Facebook-Konto wegen „Verdachts auf Identitätsdiebstahl“ untersucht werde. Außerdem wurde unten auf der Seite ein blaues Kästchen eingebettet, auf das der Benutzer klicken konnte „Eine Bewertung anfordern.“

Dadurch wurden sie auf eine Zielseite weitergeleitet, die als Spiel auf der Apps-Plattform von Facebook gehostet wird und die Domain apps.facebook.com verwendet. Dies ist ein weiterer Schritt, um den Benutzer von der Legitimität der E-Mail zu überzeugen. Hier stehlen die Angreifer die Anmeldedaten des Facebook-Kontos und Informationen zur Zwei-Faktor-Authentifizierung (2FA).

Die E-Mail-Gateway-Funktion von Salesforce ist Teil des größeren CRM-Systems und ermöglicht es Kunden, Massen-E-Mail-Benachrichtigungen und -Nachrichten zu versenden. Bevor etwas gesendet wird, lässt Salesforce Kunden sich selbst validieren, indem sie eine E-Mail-Adresse verifizieren, um sicherzustellen, dass sie der Domänenname sind, unter dem ihre Massennachrichten gesendet werden.

„Nur wenn Sie auf den Bestätigungslink klicken, der an Ihren gewünschten E-Mail-Posteingang gesendet wird, erhält das Salesforce-Backend die Berechtigung, ausgehende E-Mails entsprechend zu konfigurieren“, schreiben Zaytsev und Tal.

Allerdings konnten die Forscher zunächst nicht herausfinden, wie die Hacker Sicherheitsfunktionen umgehen konnten, die es äußerst schwierig machten, den Salesforce-E-Mail-Dienst zum Versenden einer Bestätigungs-E-Mail zu bewegen. Sie fanden heraus, dass die Angreifer die E-Mail-zu-Fall-Funktion von Salesforce manipulieren konnten, mit der Unternehmen eingehende E-Mails automatisch in umsetzbare Tickets für ihre Supportteams umwandeln.

Die Forscher sagten, es handele sich um eine gängige Funktion, die nur für eingehende E-Mails verwendet werde, aber irgendwie seien die Hacker in der Lage gewesen, Nachrichten unter Verwendung der genauen Adresse zu versenden. Sie erlangten die Kontrolle über eine von Salesforce generierte E-Mail-Adresse, indem sie einen neuen E-Mail-zu-Vorgangs-Ablauf erstellten und diese dann als „organisationsweite E-Mail-Adresse“ verifizierten, wobei das Mass Mailer Gateway von Salesforce die Adresse im offiziellen ausgehenden Ablauf verwendete. Anschließend nutzten die Hacker diese Adresse, um den Besitz des Domainnamens zu überprüfen.

Mit der vorliegenden Verifizierung könnten sie die Salesforce-E-Mail-Adresse zum Versenden von Nachrichten verwenden, die andere Anti-Phishing- und Anti-Spam-Schutzmaßnahmen umgehen.

Saeed Abbasi, Manager für Schwachstellen- und Bedrohungsforschung beim Cybersicherheitsunternehmen Qualys, sagte gegenüber Security Boulevard, dass der Angriff „kein einfacher E-Mail-Betrug, sondern eine komplexe Verflechtung von Schwachstellen über mehrere Plattformen und Dienste hinweg“ war.

„Die ungewöhnlichen Aspekte hier konzentrieren sich auf die geschickte Ausnutzung bekannter Systeme – Salesforce und Facebook – die Verkettung verschiedener Schwachstellen, um einen effektiveren Angriff zu konstruieren, und die Notwendigkeit ständiger Wachsamkeit und Anpassungsfähigkeit bei Cybersicherheitsmaßnahmen, um mit solchen sich entwickelnden Bedrohungen umzugehen.“ sagte Abbasi. „Dieser Hack veranschaulicht die kontinuierliche Entwicklung von Phishing-Techniken.“

Nachdem Salesforce von Guardio Labs darüber informiert wurde, dass der Exploit in freier Wildbahn genutzt wird, hat Salesforce das Problem behoben.

Meta wurde ebenfalls benachrichtigt. Ein Problem besteht darin, dass das Unternehmen im Jahr 2020 die Funktion „Facebook-Webspiele“ eingestellt hat, die PhishForce-Hacker jedoch immer noch schädliche Inhalte – einschließlich des Phishing-Kits – direkt in die Plattform einschleusen konnten.

Zaytsev und Tal sagten, dass es laut Meta-Dokumenten „immer noch möglich ist, die Unterstützung für ältere Spiele beizubehalten, die vor der Einstellung dieser Funktion entwickelt wurden.“ Folglich scheint es, dass sich der Zugriff auf diese Konten für böswillige Akteure als wertvoll erweisen könnte, wodurch der Wert gestohlener Konten im Zusammenhang mit Spieleanwendungen steigt.“

Die Technik- und Sicherheitsteams von Meta haben die bösartigen Konten entfernt und Salesforce mitgeteilt, dass sie eine Ursachenanalyse durchführen, um zu verstehen, warum die Erkennungs- und Abhilfemaßnahmen, die sie für diese Art von Angriffen eingerichtet haben, nicht funktioniert haben.

Die Forscher von Guardio Labs sagten, dass die Fähigkeit von Hackern, legitime Dienste wie CRMs, Marketingplattformen und Cloud-basierte Arbeitsbereiche auszunutzen, um Phishing- und andere Angriffe zu starten, eine „erhebliche Sicherheitslücke darstellt, bei der traditionelle Methoden oft Schwierigkeiten haben, mit den sich entwickelnden und fortschrittlichen Techniken Schritt zu halten.“ von Bedrohungsakteuren eingesetzt.“

Sie stellen die Dienstanbieter in die Pflicht, Maßnahmen zu ergreifen – wie verbesserte Verifizierungsprozesse und Analysen zur Erkennung böswilliger Aktivitäten –, um zu verhindern, dass böswillige Akteure E-Mail-Gateways missbrauchen können.