Bleeping Computer 網(wǎng)站披露，網(wǎng)絡(luò)攻擊者利用 Salesforce 電子郵件服務(wù)和 SMTP 服務(wù)器中的漏洞，針對一些特定的 Facebook 賬戶發(fā)起復雜的網(wǎng)絡(luò)釣魚活動。

據(jù)悉，網(wǎng)絡(luò)攻擊者利用 Salesforce 等具有良好信譽的電子郵件網(wǎng)關(guān)分發(fā)網(wǎng)絡(luò)釣魚電子郵件，此舉有利于其規(guī)避安全電子郵件網(wǎng)關(guān)和過濾規(guī)則，確保惡意電子郵件能夠到達目標收件箱。

前段時間，Guardio Labs 的分析師 Oleg Zaytsev 和 Nati Tal 發(fā)現(xiàn)漏洞問題，隨后向 Salesforce 報告并幫助進行了漏洞修復，然而 Facebook 游戲平臺上的漏洞問題仍懸而未決，Meta 的工程師們?nèi)栽谂ふ椰F(xiàn)有緩解措施不能有效阻止攻擊的原因。

PhishForce 漏洞在攻擊被濫用

Salesforce CRM 允許客戶使用自定義域名作為自己的“品牌”發(fā)送電子郵件，但必須通過平臺驗證這些域名，這樣就可以阻止客戶通過 Salesforce 發(fā)送其無權(quán)冒充的其它品牌的電子郵件。然而不幸的是，Guardio Labs 稱網(wǎng)絡(luò)攻擊者找到一種利用 Salesforce "Email-to-Case "功能的方法。

具體來說就是攻擊者設(shè)置一個新的 “Email-to-Case ”流程，以獲得對 Salesforce 生成的電子郵件地址的控制權(quán)，之后在 “salesforce.com ”域上創(chuàng)建一個新的入站電子郵件地址。

生成的 Salesforce 地址（Guardio Labs）

接下來，網(wǎng)絡(luò)攻擊者將該地址設(shè)置為 “組織范圍內(nèi)的電子郵件地址”，Salesforce 的 Mass Mailer Gateway將其用于出站電子郵件，并最終通過驗證過程來確認該域的所有權(quán)。

點擊驗證鏈接確認所有權(quán)（Guardio Labs）

整個過程允許網(wǎng)絡(luò)攻擊者使用自有的 Salesforce 電子郵件地址向任何人發(fā)送信息，從而繞過 Salesforce 的驗證保護以及任何其它電子郵件過濾器和反釣魚系統(tǒng)。

事實上，這就是近期 Guardio Labs 在野外觀察到的情況，據(jù)稱來自 “Meta Platforms ”的網(wǎng)絡(luò)釣魚電子郵件使用了 “case.salesforce.com ”域名。

從真實攻擊中提取的網(wǎng)絡(luò)釣魚電子郵件樣本（Guardio Labs）

一旦受害者點擊了嵌入式按鈕后，便會進入一個作為 Facebook 游戲平臺（"apps.facebook.com"）一部分托管和顯示的網(wǎng)絡(luò)釣魚頁面，這為攻擊增加了更多合法性和說服力，使電子郵件收件人更難意識到欺詐行為。

托管在 Facebook 游戲平臺上的網(wǎng)絡(luò)釣魚頁面（Guardio Labs）

Guardio 指出此次網(wǎng)絡(luò)攻擊活動中使用的網(wǎng)絡(luò)釣魚工具包的目的是竊取 Facebook 帳戶憑據(jù)，甚至還具有繞過雙因素身份驗證機制的特點。

觀察到的攻擊鏈（Guardio Labs）

Meta 正在積極調(diào)查網(wǎng)絡(luò)攻擊事件

2023 年 6 月 28 日，Guardio Labs 發(fā)現(xiàn)漏洞問題并報告給 Facebook ，一個月后，Guardio Labs 重現(xiàn)了該漏洞并解決了問題。對于“apps.facebook.com”的濫用，Guardio Labs 指出攻擊者應該不可能創(chuàng)建用作登錄頁的游戲拉票。接到 Guardio Labs 的報告后，Meta 刪除了違規(guī)頁面，其工程師仍在調(diào)查現(xiàn)有保護措施未能阻止攻擊的原因。

隨著網(wǎng)絡(luò)釣魚行為者不斷探索合法服務(wù)提供商的每一個潛在濫用機會，新的安全漏洞不斷威脅著用戶，使其面臨嚴重風險。因此用戶不能僅僅依賴電子郵件保護解決方案，還必須仔細檢查收件箱中的每封郵件，查找不一致之處，并反復檢查郵件中的所有聲明。