安全研究人員發(fā)現(xiàn)了一個復(fù)雜的電子郵件網(wǎng)絡(luò)釣魚活動，利用了Salesforce電子郵件服務(wù)和SMTP服務(wù)器的零日漏洞。

網(wǎng)絡(luò)安全公司Guardio Labs發(fā)現(xiàn)了這一活動，并在上周的一篇技術(shù)博客文章中詳細(xì)介紹了它的發(fā)現(xiàn)。

該活動背后的威脅行為者創(chuàng)建了有針對性的網(wǎng)絡(luò)釣魚郵件，通過使用Salesforce域避開了傳統(tǒng)的檢測方法。

為了增加欺騙，這些電子郵件被設(shè)計成似乎是從Meta平臺發(fā)送的，將收件人引導(dǎo)到Facebook網(wǎng)頁游戲平臺上的網(wǎng)絡(luò)釣魚頁面。

通過利用可信的電子郵件網(wǎng)關(guān)服務(wù)，攻擊者設(shè)法繞過過濾規(guī)則，使電子郵件看起來是真實的，并使用收件人的真實姓名個性化。

KnowBe4的安全意識倡導(dǎo)者Erich Kron解釋說:“使用之前被反垃圾郵件和反網(wǎng)絡(luò)釣魚過濾器白名單和信任的電子郵件網(wǎng)關(guān)，惡意行為者能夠以更高的成功率向潛在受害者進行網(wǎng)絡(luò)釣魚攻擊。”

這種來自知名和有記錄的來源的攻擊可以繞過許多組織使用的保護措施，例如SPF記錄，DKIM和DMARC來清除惡意消息。

Guardio Labs的研究還顯示，攻擊者操縱了Salesforce的電子郵件網(wǎng)關(guān)功能，通過Email- to - case功能創(chuàng)建用戶控制的子域，有效地繞過了驗證過程，利用該功能從看似合法的賬戶發(fā)送電子郵件。

Qualys漏洞研究經(jīng)理賽義德?阿巴西(Saeed Abbasi)表示，這次攻擊凸顯了企業(yè)加強驗證流程以保護電子郵件地址和域名所有權(quán)的迫切需要。

Abbasi說:“持續(xù)監(jiān)控和分析電子郵件流量對于發(fā)現(xiàn)濫用或異常情況至關(guān)重要。與此同時，對遺留系統(tǒng)的審查和更新在維持堅實的防御方面發(fā)揮著至關(guān)重要的作用。傳統(tǒng)的反網(wǎng)絡(luò)釣魚方法必須輔以先進的技術(shù)，特別是在處理零日漏洞時?！?/p>

在發(fā)現(xiàn)漏洞后，Guardio Labs立即通知了Salesforce和Meta。兩家公司都迅速做出了反應(yīng)，截至2023年7月28日，該漏洞已在所有Salesforce服務(wù)中得到修復(fù)。