Saldırganlar kısa bir süre önce, Facebook kullanıcılarının kimlik bilgilerini çalmayı amaçlayan karmaşık bir kimlik avı kampanyasında Salesforce’un e-posta ve SMTP hizmetlerindeki sıfır gün açığından yararlanırken tespit edildi.
Guardio araştırmacıları, meşru Salesforce altyapısını kullanarak @salesforce.com adresleriyle hedefli kimlik avı e-postaları gönderen siber saldırganları tespit etti. Bir araştırma, hem kullanıcılar hem de e-posta korumaları ile alanın güvenilir durumunun arkasına saklanmak için bir Salesforce e-posta doğrulama kusurundan yararlanabildiklerini ortaya çıkardı.
E-postaların göndericisinin “Meta Platformlar” olduğu iddia edildi ve mesajlar, meşruiyeti daha da güçlendiren Facebook platformuna meşru bağlantılar içeriyordu.
Guardio Labs’tan Oleg Zaytsey ve Nati Tal gönderide, “Bu e-postanın geleneksel istenmeyen e-posta ve kimlik avı önleme mekanizmalarından geçmesinin nedeni hiç de kolay değil,” dedi. “Yasal bağlantılar (facebook.com’a) içerir ve dünyanın önde gelen CRM sağlayıcılarından biri olan @salesforce.com’un yasal bir e-posta adresinden gönderilir.”
Mesajlar, alıcıları bir düğme aracılığıyla meşru bir Facebook etki alanına, apps.facebook.com’a yönlendiriyordu; burada içerik, Facebook’un hizmet şartlarını ihlal ettiklerini bildirmek için değiştirilmişti. Oradan başka bir düğme, tam ad, hesap adı, e-posta adresi, telefon numarası ve şifre gibi kişisel bilgileri toplayan bir kimlik avı sayfasına yönlendirdi.
Yine de Salesforce, Guardio’ya “Müşteri verileri üzerinde herhangi bir etkiye dair kanıt yok” dedi. Bu arada kusur giderildi.
Durdurulan Facebook Oyunlarının Kötüye Kullanımı
Facebook tarafında saldırganlar, özelleştirilmiş tuvallere izin veren bir Web uygulaması oyunu oluşturarak apps.facebook.com’u kötüye kullandı. Facebook, eski oyun tuvalleri oluşturma yeteneğini durdurdu, ancak özelliğin bitiminden önce geliştirilen mevcut oyunlar eski haline getirildi. Araştırmacılar, kötü niyetli aktörlerin bu hesaplara erişimi kötüye kullandığı anlaşılıyor.
Araştırmacılar, bunu yaparken, “kötü amaçlı alan içeriğini doğrudan Facebook platformuna ekleyebilirler – iki faktörlü kimlik doğrulama (2FA) mekanizması baypasları da dahil olmak üzere Facebook hesaplarını çalmak için özel olarak tasarlanmış bir kimlik avı kiti sunabilirler” dedi ve Facebook ana Meta’nın “hızlı bir şekilde” olduğunu ekledi. kötü niyetli hesapları ve Web oyununu kaldırdı.”
Gönderiye göre Meta’nın mühendislik ekibi Guardio’ya, “Bu tür saldırılar için tespitlerimizin ve hafifletme yöntemlerimizin neden işe yaramadığını görmek için bir temel neden analizi yapıyoruz.”
Meşru Posta Ağ Geçitlerini Koruma
Kimlik avı saldırılarının ve dolandırıcılıklarının yaygınlığı, saldırganların hala çalışan eski bir toplum mühendisliği türüne yeni bir soluk getirmenin ve karmaşıklığını artırmanın yollarını bulmasıyla yüksek olmaya devam ediyor. Aslında, genellikle fidye yazılımı ve diğer saldırıları başlatmak için kurumsal ağlara ilk giriş noktası olarak kullanılır.
Araştırmacılar, son kampanyaların ortaya çıkan ve endişe verici yönlerinden birinin, Salesforce gibi CRM’ler, pazarlama platformları ve bulut tabanlı çalışma alanları gibi görünüşte meşru hizmetlerden kötü amaçlı faaliyetler yürütmek için yararlanılması olduğunu belirtiyor: “Bu, geleneksel yöntemler genellikle tehdit aktörleri tarafından kullanılan gelişen ve gelişmiş tekniklere ayak uydurmak için mücadele ediyor.”
O halde hizmet sağlayıcıların, bu platformların güvenli ve saygın posta ağ geçitlerinden yararlanan kimlik avı dolandırıcılıklarında kötüye kullanılmasını önlemek için güvenlik oyunlarını artırmaları gerekir. Bunu gerçekleştirmeye yönelik adımlar arasında, kullanıcıların meşruiyetini sağlamak için doğrulama süreçlerinin desteklenmesi ve ayrıca, ister aşırı hacim yoluyla ister posta listeleri ve içerik özellikleri gibi meta verilerin analizi yoluyla olsun, ağ geçidinin herhangi bir kötüye kullanımını derhal tespit etmek için kapsamlı sürekli etkinlik analizi yapılması yer alır.