Language
Salesforceの欠陥を悪用したフィッシングキャンペーンがFacebookユーザーを攻撃
ホームページホームページ > ニュース > Salesforceの欠陥を悪用したフィッシングキャンペーンがFacebookユーザーを攻撃
最新ニュース

Salesforceの欠陥を悪用したフィッシングキャンペーンがFacebookユーザーを攻撃

Oct 31, 2023

ホーム » Security Boulevard (原文) » Salesforce の欠陥を悪用したフィッシングキャンペーンが Facebook ユーザーを攻撃

正体不明の悪意のある攻撃者が、Salesforce の電子メール サービスのゼロデイ脆弱性を悪用する高度なフィッシング キャンペーンを実行し、ハッカーが Facebook アカウントから情報を盗もうとしながら、クラウド巨人の正当性の背後に隠れることを可能にしました。

Guardio Labs の研究者が「PhishForce」と名付けた脆弱性を利用して、攻撃者は Facebook の親会社 Meta から送信されたように見える、「@salesforce.com」ドメインを含む電子メールを作成し、ゲートウェイやフィルターなどの従来のセキュリティ保護をすり抜けることができました。

Meta 名と Salesforce 名はメッセージに信頼性の雰囲気を与え、対象となるユーザーがメールをクリックする可能性が高くなります。

Guardio Labs の研究者である Oleg Zaytsev 氏と Nati Tal 氏は報告書で、「この電子メールが従来のスパム対策やフィッシング対策の仕組みをすり抜けてきた理由は明らかです」と報告書に書いている。 「これには(facebook.comへの)正規のリンクが含まれており、世界有数の(顧客関係管理)CRMプロバイダーの1つである@salesforce.comの正規のメールアドレスから送信されています。」

このキャンペーンで悪用された Salesforce サービスのような電子メール ゲートウェイ サービスは、製品の宣伝から広告に至るまで、あらゆる内容について大量の電子メールを定期的に送信します。 これにより、このような正規のサービスを通じて悪意のある電子メールを送信する攻撃者が支援され、「量だけでなく、それらのゲートウェイの評判へのアクセスも可能になり、通常はその IP とドメインが組織内またはネットワーク全体でホワイトリストに登録される」と研究者らは書いています。 。

ターゲットのメールボックスに届いたフィッシングメールには、ターゲットの名前が記載され、「なりすましに関与した疑い」のため Facebook アカウントが調査中であることが伝えられ、ユーザーがクリックできる青いボックスがページの下部に埋め込まれていました。 「レビューをリクエストしてください。」

これにより、Facebook のアプリ プラットフォームでゲームとしてホストされ、ドメイン apps.facebook.com を使用するランディング ページにユーザーが送信されます。 これは、電子メールの正当性をユーザーに納得させるためのもう 1 つのステップです。 攻撃者はここで Facebook アカウントの資格情報と 2 要素認証 (2FA) 情報を盗みます。

Salesforce の電子メール ゲートウェイ機能は、大規模な CRM システムの一部であり、顧客が電子メール通知やメッセージを大量に送信できるようになります。 Salesforce では、何かを送信する前に、顧客がメールアドレスを検証して、大量のメッセージが送信されるドメイン名を所有していることを確認することで、顧客自身を認証させます。

「希望のメール受信箱に送信された確認リンクをクリックするだけで、Salesforce バックエンドに送信メールを適切に設定する権限が与えられます」と Zaytsev 氏と Tal 氏は書いています。

とはいえ、研究者らは当初、Salesforce 電子メールサービスに確認電子メールを送信させることを非常に困難にするセキュリティ機能をハッカーがどのようにすり抜けることができるのかを発見できませんでした。 彼らは、攻撃者が Salesforce のメール-to-ケース機能を操作できることを発見しました。この機能は、企業が受信メールをサポート チーム向けのアクション可能なチケットに自動的に変換するために使用します。

研究者らによると、これは受信メールのみに使用される一般的な機能だが、どういうわけかハッカーは正確なアドレスを使用してメッセージを送信できたという。 新しいメール-to-ケースフローを作成することで、Salesforce が生成したメールアドレスを制御できるようになり、Salesforce のマスメーラーゲートウェイで公式の送信フローのアドレスを使用して、それが「組織全体のメールアドレス」として検証されました。 次に、ハッカーはそのアドレスを使用してドメイン名の所有権を確認しました。

検証が完了すると、Salesforce の電子メール アドレスを使用して、他のフィッシング対策やスパム対策保護を回避するメッセージを送信できるようになります。

サイバーセキュリティ企業Qualysの脆弱性・脅威研究マネージャー、サイード・アッバシ氏はSecurity Boulevardに対し、この攻撃は「単純な電子メール詐欺ではなく、複数のプラットフォームやサービスにわたる脆弱性が複雑に絡み合ったものだった」と語った。