Allarme Facebook: Meta nel mirino di una campagna phishing elusiva

La società di sicurezza informatica Guardio ha reso pubblico un interessante rapporto che descrive in dettaglio la scoperta di una sofisticata campagna di phishing via e-mail che sfrutta una vulnerabilità zero-day nei servizi e-mail legittimi di Salesforce e nei server SMTP.

La vulnerabilità ha consentito ai cybercriminali di creare e-mail di phishing mirate, eludendo abilmente i metodi di rilevamento convenzionali sfruttando il dominio e la reputazione di Salesforce attraverso alcuni giochi integrati in Facebook.

L’80% delle organizzazioni subisce attacchi di questo tipo ogni anno e, in questo contesto, la posta elettronica rappresenta uno dei canali privilegiati per le azioni phishing.

Le e-mail, in questo caso specifico, sono state abilmente camuffate da posta aziendale lecita, attraverso cui l’utenza viene indotta con l’inganno a intraprendere azioni dannose. In tal senso, si parla di download di malware o comportamenti che espongono dati e credenziali sensibili.

Secondo Guardio, utilizzando sofisticate tecniche di phishing, i cybercriminali hanno offuscato con successo il traffico e-mail dannoso all’interno di servizi di gateway e indirizzi di posta legittimi e affidabili. Forti di questa credibilità, questa campagna si è rivelata devastante per molti utenti.

Servizi e-mail Saleforce sfruttati per una campagna phishing elusiva: cosa è successo?

Guardio afferma che le e-mail di phishing utilizzate sembravano più che verosimili, menzionando il vero nome dell’obiettivo e aggirando con successo i tradizionali meccanismi anti-spam e anti-phishing. Ciò è stato possibile in quanto la posta includeva collegamenti legittimi a Facebook e il mittente risultava un indirizzo e-mail @salesforce.com.

Nati Tal, capo di Guardio Labs, ha affermato come “Questo incidente con Salesforce evidenzia l’importanza per i fornitori di servizi di esercitare ulteriore cautela e implementare misure rigorose per prevenire l’abuso di servizi legittimi per attività dannose“.

Lo stesso Tal, ha poi aggiunto “Lodiamo Salesforce e Meta per le loro azioni tempestive e gli sforzi continui per rafforzare la sicurezza e la resilienza delle loro piattaforme. Consigliamo ad altri fornitori di servizi di seguire l’esempio, proteggendo i gateway di dati e rafforzando i processi di verifica” di fatto scagionando entrambe le parti da buona parte delle responsabilità.

Anche Saleforce ha voluto commentare quanto accaduto “In Salesforce, la fiducia è il nostro primo valore e la sicurezza è la nostra massima priorità. […] Il nostro team ha risolto il problema e al momento non ci sono prove di impatto sui dati dei clienti“.