Bleeping Computer 網(wǎng)站披露，網(wǎng)絡(luò)攻擊者利用 Salesforce 電子郵件服務(wù)和 SMTP 服務(wù)器中的漏洞，針對(duì)一些特定的 Facebook 賬戶發(fā)起復(fù)雜的網(wǎng)絡(luò)釣魚活動(dòng)。

據(jù)悉，網(wǎng)絡(luò)攻擊者利用 Salesforce 等具有良好信譽(yù)的電子郵件網(wǎng)關(guān)分發(fā)網(wǎng)絡(luò)釣魚電子郵件，此舉有利于其規(guī)避安全電子郵件網(wǎng)關(guān)和過濾規(guī)則，確保惡意電子郵件能夠到達(dá)目標(biāo)收件箱。

前段時(shí)間，Guardio Labs 的分析師 Oleg Zaytsev 和 Nati Tal 發(fā)現(xiàn)漏洞問題，隨后向 Salesforce 報(bào)告并幫助進(jìn)行了漏洞修復(fù)，然而 Facebook 游戲平臺(tái)上的漏洞問題仍懸而未決，Meta 的工程師們?nèi)栽谂ふ椰F(xiàn)有緩解措施不能有效阻止攻擊的原因。

PhishForce 漏洞在攻擊被濫用

Salesforce CRM 允許客戶使用自定義域名作為自己的“品牌”發(fā)送電子郵件，但必須通過平臺(tái)驗(yàn)證這些域名，這樣就可以阻止客戶通過 Salesforce 發(fā)送其無權(quán)冒充的其它品牌的電子郵件。然而不幸的是，Guardio Labs 稱網(wǎng)絡(luò)攻擊者找到一種利用 Salesforce "Email-to-Case "功能的方法。

具體來說就是攻擊者設(shè)置一個(gè)新的 “Email-to-Case ”流程，以獲得對(duì) Salesforce 生成的電子郵件地址的控制權(quán)，之后在 “salesforce.com ”域上創(chuàng)建一個(gè)新的入站電子郵件地址。

生成的 Salesforce 地址（Guardio Labs）

接下來，網(wǎng)絡(luò)攻擊者將該地址設(shè)置為 “組織范圍內(nèi)的電子郵件地址”，Salesforce 的 Mass Mailer Gateway將其用于出站電子郵件，并最終通過驗(yàn)證過程來確認(rèn)該域的所有權(quán)。

點(diǎn)擊驗(yàn)證鏈接確認(rèn)所有權(quán)（Guardio Labs）

整個(gè)過程允許網(wǎng)絡(luò)攻擊者使用自有的 Salesforce 電子郵件地址向任何人發(fā)送信息，從而繞過 Salesforce 的驗(yàn)證保護(hù)以及任何其它電子郵件過濾器和反釣魚系統(tǒng)。

事實(shí)上，這就是近期 Guardio Labs 在野外觀察到的情況，據(jù)稱來自 “Meta Platforms ”的網(wǎng)絡(luò)釣魚電子郵件使用了 “case.salesforce.com ”域名。

從真實(shí)攻擊中提取的網(wǎng)絡(luò)釣魚電子郵件樣本（Guardio Labs）

一旦受害者點(diǎn)擊了嵌入式按鈕后，便會(huì)進(jìn)入一個(gè)作為 Facebook 游戲平臺(tái)（"apps.facebook.com"）一部分托管和顯示的網(wǎng)絡(luò)釣魚頁(yè)面，這為攻擊增加了更多合法性和說服力，使電子郵件收件人更難意識(shí)到欺詐行為。

托管在 Facebook 游戲平臺(tái)上的網(wǎng)絡(luò)釣魚頁(yè)面（Guardio Labs）

Guardio 指出此次網(wǎng)絡(luò)攻擊活動(dòng)中使用的網(wǎng)絡(luò)釣魚工具包的目的是竊取 Facebook 帳戶憑據(jù)，甚至還具有繞過雙因素身份驗(yàn)證機(jī)制的特點(diǎn)。

觀察到的攻擊鏈（Guardio Labs）

Meta 正在積極調(diào)查網(wǎng)絡(luò)攻擊事件

2023 年 6 月 28 日，Guardio Labs 發(fā)現(xiàn)漏洞問題并報(bào)告給 Facebook ，一個(gè)月后，Guardio Labs 重現(xiàn)了該漏洞并解決了問題。對(duì)于“apps.facebook.com”的濫用，Guardio Labs 指出攻擊者應(yīng)該不可能創(chuàng)建用作登錄頁(yè)的游戲拉票。接到 Guardio Labs 的報(bào)告后，Meta 刪除了違規(guī)頁(yè)面，其工程師仍在調(diào)查現(xiàn)有保護(hù)措施未能阻止攻擊的原因。

隨著網(wǎng)絡(luò)釣魚行為者不斷探索合法服務(wù)提供商的每一個(gè)潛在濫用機(jī)會(huì)，新的安全漏洞不斷威脅著用戶，使其面臨嚴(yán)重風(fēng)險(xiǎn)。因此用戶不能僅僅依賴電子郵件保護(hù)解決方案，還必須仔細(xì)檢查收件箱中的每封郵件，查找不一致之處，并反復(fù)檢查郵件中的所有聲明。