La società di sicurezza informatica Guardio ha reso pubblico un interessante rapporto che descrive in dettaglio la scoperta di una sofisticata campagna di phishing via e-mail che sfrutta una vulnerabilità zero-day nei servizi e-mail legittimi di Salesforce e nei server SMTP.
La vulnerabilità ha consentito ai cybercriminali di creare e-mail di phishing mirate, eludendo abilmente i metodi di rilevamento convenzionali sfruttando il dominio e la reputazione di Salesforce attraverso alcuni giochi integrati in Facebook.
L’80% delle organizzazioni subisce attacchi di questo tipo ogni anno e, in questo contesto, la posta elettronica rappresenta uno dei canali privilegiati per le azioni phishing.
Le e-mail, in questo caso specifico, sono state abilmente camuffate da posta aziendale lecita, attraverso cui l’utenza viene indotta con l’inganno a intraprendere azioni dannose. In tal senso, si parla di download di malware o comportamenti che espongono dati e credenziali sensibili.
Secondo Guardio, utilizzando sofisticate tecniche di phishing, i cybercriminali hanno offuscato con successo il traffico e-mail dannoso all’interno di servizi di gateway e indirizzi di posta legittimi e affidabili. Forti di questa credibilità, questa campagna si è rivelata devastante per molti utenti.
Servizi e-mail Saleforce sfruttati per una campagna phishing elusiva: cosa è successo?
Guardio afferma che le e-mail di phishing utilizzate sembravano più che verosimili, menzionando il vero nome dell’obiettivo e aggirando con successo i tradizionali meccanismi anti-spam e anti-phishing. Ciò è stato possibile in quanto la posta includeva collegamenti legittimi a Facebook e il mittente risultava un indirizzo e-mail @salesforce.com.
Nati Tal, capo di Guardio Labs, ha affermato come “Questo incidente con Salesforce evidenzia l’importanza per i fornitori di servizi di esercitare ulteriore cautela e implementare misure rigorose per prevenire l’abuso di servizi legittimi per attività dannose“.
Lo stesso Tal, ha poi aggiunto “Lodiamo Salesforce e Meta per le loro azioni tempestive e gli sforzi continui per rafforzare la sicurezza e la resilienza delle loro piattaforme. Consigliamo ad altri fornitori di servizi di seguire l’esempio, proteggendo i gateway di dati e rafforzando i processi di verifica” di fatto scagionando entrambe le parti da buona parte delle responsabilità.
Anche Saleforce ha voluto commentare quanto accaduto “In Salesforce, la fiducia è il nostro primo valore e la sicurezza è la nostra massima priorità. […] Il nostro team ha risolto il problema e al momento non ci sono prove di impatto sui dati dei clienti“.