Bleeping Computer 網站披露，網絡攻擊者利用 Salesforce 電子郵件服務和 SMTP 服務器中的漏洞，針對一些特定的 Facebook 賬戶發起復雜的網絡釣魚活動。

據悉，網絡攻擊者利用 Salesforce 等具有良好信譽的電子郵件網關分發網絡釣魚電子郵件，此舉有利于其規避安全電子郵件網關和過濾規則，確保惡意電子郵件能夠到達目標收件箱。

前段時間，Guardio Labs 的分析師 Oleg Zaytsev 和 Nati Tal 發現漏洞問題，隨后向 Salesforce 報告并幫助進行了漏洞修復，然而 Facebook 游戲平臺上的漏洞問題仍懸而未決，Meta 的工程師們仍在努力尋找現有緩解措施不能有效阻止攻擊的原因。

PhishForce 漏洞在攻擊被濫用

Salesforce CRM 允許客戶使用自定義域名作為自己的“品牌”發送電子郵件，但必須通過平臺驗證這些域名，這樣就可以阻止客戶通過 Salesforce 發送其無權冒充的其它品牌的電子郵件。然而不幸的是，Guardio Labs 稱網絡攻擊者找到一種利用 Salesforce "Email-to-Case "功能的方法。

具體來說就是攻擊者設置一個新的 “Email-to-Case ”流程，以獲得對 Salesforce 生成的電子郵件地址的控制權，之后在 “salesforce.com ”域上創建一個新的入站電子郵件地址。

生成的 Salesforce 地址（Guardio Labs）

接下來，網絡攻擊者將該地址設置為 “組織范圍內的電子郵件地址”，Salesforce 的 Mass Mailer Gateway將其用于出站電子郵件，并最終通過驗證過程來確認該域的所有權。

點擊驗證鏈接確認所有權（Guardio Labs）

整個過程允許網絡攻擊者使用自有的 Salesforce 電子郵件地址向任何人發送信息，從而繞過 Salesforce 的驗證保護以及任何其它電子郵件過濾器和反釣魚系統。

事實上，這就是近期 Guardio Labs 在野外觀察到的情況，據稱來自 “Meta Platforms ”的網絡釣魚電子郵件使用了 “case.salesforce.com ”域名。

從真實攻擊中提取的網絡釣魚電子郵件樣本（Guardio Labs）

一旦受害者點擊了嵌入式按鈕后，便會進入一個作為 Facebook 游戲平臺（"apps.facebook.com"）一部分托管和顯示的網絡釣魚頁面，這為攻擊增加了更多合法性和說服力，使電子郵件收件人更難意識到欺詐行為。

托管在 Facebook 游戲平臺上的網絡釣魚頁面（Guardio Labs）

Guardio 指出此次網絡攻擊活動中使用的網絡釣魚工具包的目的是竊取 Facebook 帳戶憑據，甚至還具有繞過雙因素身份驗證機制的特點。

觀察到的攻擊鏈（Guardio Labs）

Meta 正在積極調查網絡攻擊事件

2023 年 6 月 28 日，Guardio Labs 發現漏洞問題并報告給 Facebook ，一個月后，Guardio Labs 重現了該漏洞并解決了問題。對于“apps.facebook.com”的濫用，Guardio Labs 指出攻擊者應該不可能創建用作登錄頁的游戲拉票。接到 Guardio Labs 的報告后，Meta 刪除了違規頁面，其工程師仍在調查現有保護措施未能阻止攻擊的原因。

隨著網絡釣魚行為者不斷探索合法服務提供商的每一個潛在濫用機會，新的安全漏洞不斷威脅著用戶，使其面臨嚴重風險。因此用戶不能僅僅依賴電子郵件保護解決方案，還必須仔細檢查收件箱中的每封郵件，查找不一致之處，并反復檢查郵件中的所有聲明。