0day-уязвимость Salesforce: клиенты компании оказались «на крючке»

ИБ-компания Guardio раскрыла сложную фишинговую атаку, основанную на 0day-уязвимости в электронной почте и SMTP-серверах Salesforce.

Злоумышленники использовали недостаток для создания мошеннических писем, которые имитировали сообщения от компании Salesforce. Таким образом киберпреступники смогли обойти стандартные методы обнаружения и атаковать пользователей.

Фишинговые электронные письма выглядели подлинными, в них упоминалось настоящее имя жертвы, и они успешно обходили традиционные механизмы защиты от спама и фишинга , поскольку содержали легитимные ссылки на Facebook* и отправлялись с адреса электронной почты «@salesforce.com».

Фишинговое письмо, отправленного с адреса электронной почты «@salesforce.com»

Злоумышленники использовали функцию Salesforce «Email-To-Case», которая предназначена для преобразования входящих электронных писем клиентов в заявки, позволяющие хакерам получать подтверждающие электронные письма и контроль над подлинным адресом электронной почты «@salesforce.com» для своих фишинговых атак.

Guardio представила свои результаты Salesforce и Meta , которые приступили к устранению проблемы. В Salesforce подтвердили, что проблема была устранена и на данный момент нет свидетельств того, что данные клиентов были затронуты.

* Компания Meta и её продукты (Instagram и Facebook ) признаны экстремистскими, их деятельность запрещена на территории РФ.