Die Cybersecurity-Firma Guardio hat einen Bericht veröffentlicht, der die Entdeckung eines raffinierten Email-Phishing-Angriffs durch ihr Forschungsteam beschreibt. Die Angreifer nutzten eine Zero-Day-Schwachstelle in den legitimen Email-Services und SMTP-Servern von Salesforce aus.
Phishing-Angriffe sind eine ernste Bedrohung für Unternehmen, und jedes Jahr sind rund 80 % der Organisationen davon betroffen. Besonders verbreitet sind Massen-Emails, die sich geschickt als Nachrichten von seriösen Unternehmen ausgeben. Die Empfänger werden dabei getäuscht, bösartige Aktionen wie das Herunterladen von Malware oder das Klicken auf schädliche Links auszuführen, wodurch Zugangsdaten zu sozialen und finanziellen Konten offengelegt werden.
Guardio enthüllt, dass die Angreifer ausgeklügelte Techniken einsetzten, um schädlichen Email-Verkehr innerhalb der legitimen und vertrauenswürdigen Email-Gateways zu verbergen. Dadurch konnten sie das Ansehen und die Domain von Salesforce ausnutzen und gleichzeitig altmodische Eigenheiten in Facebooks Web-Spielen für ihre Zwecke missbrauchen.
In ihrem Bericht analysiert das Forschungsteam von Guardio die Phishing-Kampagne im Detail, beschreibt die Entdeckung der Zero-Day-Schwachstelle, die von den Angreifern ausgenutzt wurde, und untersucht, wie diese den herkömmlichen Email-Filtermethoden überlegen war.
Besonders beunruhigend ist, dass die Phishing-Emails äußerst authentisch erschienen. Sie erwähnten den echten Namen des Ziels und umgingen geschickt herkömmliche Anti-Spam- und Anti-Phishing-Mechanismen, indem sie legitime Links zu Facebook enthielten und von der Adresse @salesforce.com aus versandt wurden.
Die Angreifer nutzten die Email-To-Case-Funktion von Salesforce aus, die dazu dient, eingehende Kunden-Emails in aktionierbare Tickets umzuwandeln. Auf diese Weise erhielten sie Verifikations-Emails und erlangten die Kontrolle über eine echte @salesforce.com Email-Adresse für ihre bösartigen Phishing-Unternehmungen.
Nachdem das Team von Guardio den Angriff erfolgreich identifiziert hatte, teilten sie ihre Erkenntnisse mit Salesforce und Meta, woraufhin beide Unternehmen prompt reagierten, um das Problem zu beheben. Dabei arbeiteten sie eng mit Guardio zusammen, um die Schwachstelle zu schließen.
„Dieser Vorfall mit Salesforce verdeutlicht die Notwendigkeit für Service-Provider, zusätzliche Vorsichtsmaßnahmen zu treffen und strenge Maßnahmen zu implementieren, um den Missbrauch legitimer Dienste für bösartige Aktivitäten zu verhindern“, sagt Nati Tal, Leiter von Guardio Labs und Mitautor des neuesten Berichts.
„Wir loben Salesforce und Meta für ihre prompten Maßnahmen und ihre fortlaufenden Bemühungen, die Sicherheit und Robustheit ihrer Plattformen zu stärken“, sagt Tal.
„Wir raten anderen Service-Providern, ihrem Beispiel zu folgen, Daten-Gateways abzusichern und Verifikationsprozesse zu verstärken.“
„Bei Salesforce ist Vertrauen unser höchster Wert, und Sicherheit hat oberste Priorität“, erklärt Salesforce.
„Wir schätzen die Beiträge der Sicherheitsforschungsgemeinschaft, die dazu beitragen, unsere Sicherheitsbemühungen zu verbessern, und wir sind Guardio Labs dankbar für die verantwortungsbewusste Offenlegung dieses Problems.
„Unser Team hat das Problem behoben, und derzeit gibt es keine Hinweise auf Auswirkungen auf Kundendaten.“