黑客利用 Facebook 漏洞,發(fā)起網(wǎng)絡(luò)釣魚攻擊
Bleeping Computer 網(wǎng)站披露,網(wǎng)絡(luò)攻擊者利用 Salesforce 電子郵件服務(wù)和 SMTP 服務(wù)器中的漏洞,針對(duì)一些特定的 Facebook 賬戶發(fā)起復(fù)雜的網(wǎng)絡(luò)釣魚活動(dòng)。
據(jù)悉,網(wǎng)絡(luò)攻擊者利用 Salesforce 等具有良好信譽(yù)的電子郵件網(wǎng)關(guān)分發(fā)網(wǎng)絡(luò)釣魚電子郵件,此舉有利于其規(guī)避安全電子郵件網(wǎng)關(guān)和過(guò)濾規(guī)則,確保惡意電子郵件能夠到達(dá)目標(biāo)收件箱。
前段時(shí)間,Guardio Labs 的分析師 Oleg Zaytsev 和 Nati Tal 發(fā)現(xiàn)漏洞問(wèn)題,隨后向 Salesforce 報(bào)告并幫助進(jìn)行了漏洞修復(fù),然而 Facebook 游戲平臺(tái)上的漏洞問(wèn)題仍懸而未決,Meta 的工程師們?nèi)栽谂ふ椰F(xiàn)有緩解措施不能有效阻止攻擊的原因。
PhishForce 漏洞在攻擊被濫用
Salesforce CRM 允許客戶使用自定義域名作為自己的“品牌”發(fā)送電子郵件,但必須通過(guò)平臺(tái)驗(yàn)證這些域名,這樣就可以阻止客戶通過(guò) Salesforce 發(fā)送其無(wú)權(quán)冒充的其它品牌的電子郵件。然而不幸的是,Guardio Labs 稱網(wǎng)絡(luò)攻擊者找到一種利用 Salesforce "Email-to-Case "功能的方法。
具體來(lái)說(shuō)就是攻擊者設(shè)置一個(gè)新的 “Email-to-Case ”流程,以獲得對(duì) Salesforce 生成的電子郵件地址的控制權(quán),之后在 “salesforce.com ”域上創(chuàng)建一個(gè)新的入站電子郵件地址。
生成的 Salesforce 地址(Guardio Labs)
接下來(lái),網(wǎng)絡(luò)攻擊者將該地址設(shè)置為 “組織范圍內(nèi)的電子郵件地址”,Salesforce 的 Mass Mailer Gateway將其用于出站電子郵件,并最終通過(guò)驗(yàn)證過(guò)程來(lái)確認(rèn)該域的所有權(quán)。
點(diǎn)擊驗(yàn)證鏈接確認(rèn)所有權(quán)(Guardio Labs)
整個(gè)過(guò)程允許網(wǎng)絡(luò)攻擊者使用自有的 Salesforce 電子郵件地址向任何人發(fā)送信息,從而繞過(guò) Salesforce 的驗(yàn)證保護(hù)以及任何其它電子郵件過(guò)濾器和反釣魚系統(tǒng)。
事實(shí)上,這就是近期 Guardio Labs 在野外觀察到的情況,據(jù)稱來(lái)自 “Meta Platforms ”的網(wǎng)絡(luò)釣魚電子郵件使用了 “case.salesforce.com ”域名。
從真實(shí)攻擊中提取的網(wǎng)絡(luò)釣魚電子郵件樣本(Guardio Labs)
一旦受害者點(diǎn)擊了嵌入式按鈕后,便會(huì)進(jìn)入一個(gè)作為 Facebook 游戲平臺(tái)("apps.facebook.com")一部分托管和顯示的網(wǎng)絡(luò)釣魚頁(yè)面,這為攻擊增加了更多合法性和說(shuō)服力,使電子郵件收件人更難意識(shí)到欺詐行為。
托管在 Facebook 游戲平臺(tái)上的網(wǎng)絡(luò)釣魚頁(yè)面(Guardio Labs)
Guardio 指出此次網(wǎng)絡(luò)攻擊活動(dòng)中使用的網(wǎng)絡(luò)釣魚工具包的目的是竊取 Facebook 帳戶憑據(jù),甚至還具有繞過(guò)雙因素身份驗(yàn)證機(jī)制的特點(diǎn)。
觀察到的攻擊鏈(Guardio Labs)
Meta 正在積極調(diào)查網(wǎng)絡(luò)攻擊事件
2023 年 6 月 28 日,Guardio Labs 發(fā)現(xiàn)漏洞問(wèn)題并報(bào)告給 Facebook ,一個(gè)月后,Guardio Labs 重現(xiàn)了該漏洞并解決了問(wèn)題。對(duì)于“apps.facebook.com”的濫用,Guardio Labs 指出攻擊者應(yīng)該不可能創(chuàng)建用作登錄頁(yè)的游戲拉票。接到 Guardio Labs 的報(bào)告后,Meta 刪除了違規(guī)頁(yè)面,其工程師仍在調(diào)查現(xiàn)有保護(hù)措施未能阻止攻擊的原因。
隨著網(wǎng)絡(luò)釣魚行為者不斷探索合法服務(wù)提供商的每一個(gè)潛在濫用機(jī)會(huì),新的安全漏洞不斷威脅著用戶,使其面臨嚴(yán)重風(fēng)險(xiǎn)。因此用戶不能僅僅依賴電子郵件保護(hù)解決方案,還必須仔細(xì)檢查收件箱中的每封郵件,查找不一致之處,并反復(fù)檢查郵件中的所有聲明。
