Kompanija za kibernetičku sigurnost Guardio objavila je izvještaj u kojem je detaljno opisala otkriće svog istraživačkog tima o sofisticiranoj phishing kampanji e-pošte koja iskorištava ranjivost nultog dana u Salesforceovim legitimnim servisima e-pošte i SMTP serverima.
Ranjivost je omogućila hakerima da kreiraju ciljane phishing e-poruke, vješto izbjegavajući konvencionalne metode otkrivanja koristeći Salesforceov domen i reputaciju i iskorištavajući naslijeđene hirovitosti na Facebook platformi za web igre.
Osamdeset posto organizacija se svake godine suočava s phishing napadima, a e-poruke za masovno tržište su najrašireniji oblik krađe identiteta, vješto prerušeni u e-poruke renomiranih kompanija, putem kojih su primaoci obmanuti da preduzmu štetne radnje poput preuzimanja malware-a ili klikanja na maliciozne veze koje izlažu kredencijale društvenih i finansijskih naloga.
Prema Guardiu, koristeći sofisticirane tehnike phishinga, hakeri su uspješno sakrili maliciozni promet e-pošte unutar legitimnih i pouzdanih gateway servisa e-pošte, omogućavajući im da ostvare dobit na osnovu obima i reputacije kompanije. U izvještaju, istraživački tim Guardio Labsa analizira kampanju, opisuje svoje otkriće ranjivosti nultog dana koju koriste hakeri i istražuje kako je to omogućilo hakerima prednost u odnosu na konvencionalne metode filtriranja e-pošte.
Najnoviji izvještaj opisuje otkrića, metode napada, te kako je sistem verifikacije nadjačan od strane drugog Salesforce sistema i još mnogo toga.
Guardio kaže da su phishing e-poruke izgledale autentično, spominjujući pravo ime mete i uspješno zaobilazeći tradicionalne anti-spam i anti-phishing mehanizme, jer su uključivali legitimne linkove na Facebook i poticali sa adrese e-pošte @salesforce.com.
Hakeri su iskoristili Salesforceovu funkciju Email-To-Case, koja je dizajnirana da konvertuje dolaznu e-poštu kupaca u akcijske karte, omogućavajući im da primaju verifikacione e-poruke i steknu kontrolu nad originalnom @salesforce.com email adresom za svoje maliciozne pokušaje krađe identiteta.
Nakon uspješne identifikacije šeme, Guardio je otkrio svoje nalaze Salesforceu i Meti, a obe kompanije su odmah odgovorile kako bi riješile problem i radile s Guardiom na zatvaranju problema.
“Ovaj incident sa Salesforce-om naglašava važnost da pružaoci usluga budu dodatno oprezni i implementuju stroge mjere kako bi spriječili zloupotrebu legitimnih usluga za maliciozone aktivnosti”, kaže Nati Tal, šef laboratorije Guardio i koautor njihovog najnovijeg izvještaja.
“Pohvaljujemo Salesforce i Metu za njihove brze akcije i stalne napore da ojačaju sigurnost i otpornost svojih platformi”, kaže Tal.
“Savjetujemo drugim pružaocima usluga da slijede njihov primjer, osiguravajući pristupne mreže podataka i jačajući procese verifikacije.”
„U Salesforceu povjerenje je naša vrijednost broj 1, a sigurnost je naš glavni prioritet“, kaže Saleforce.
“Cijenimo doprinose istraživačke zajednice u oblasti sigurnosti kako bismo poboljšali naše sigurnosne napore i zahvalni smo Guardio Labs-u na njihovom odgovornom otkrivanju ovog problema.
“Naš tim je riješio problem i u ovom trenutku nema dokaza o uticaju na podatke korisnika.”
Izvor: ITBrief New Zealand