Campagne phishing: il caso di Salesforce

Come purtroppo accade sempre più spesso, ci troviamo nuovamente a parlare di minacce informatiche perpetrate mediante una delle strategie più utilizzate dagli hacker, ovvero il phishing, una tecnica che consiste nel lanciare offensive via email fingendosi un’azienda o un ente pubblico noto con l’obiettivo di far cliccare su link che presentano false pagine di login e rubare quindi le credenziali delle vittime.

Questa volta è toccato ad una lunga lista di account Facebook rubati a causa però di una falla di sistema di una big del mercato tecnologico statunitense come Salesforce, sfruttata per lanciare, appunto, campagne di phishing mirate al furto di credenziali. Andando in ordine, nei primissimi giorni di agosto gli esperti di cybersecurity hanno notato una imponente campagna mail che partiva dai sistemi di Salesforce approfittando di una vulnerabilità zero day sui loro sistemi SMTP e quindi email. Tramite questo bug, gli hacker sono riusciti ad inviare email facendosi passare per l’azienda in modo evidentemente efficace, chiedendo ai destinatari di fornire le credenziali del profilo Facebook oltre a numero di telefono e generalità. Sfruttando la vulnerabilità ed utilizzando quindi il dominio legittimo di Salesforce, la campagna era riuscita inizialmente a sfuggire dai controlli interni e si spiegava ai destinatari che il loro profilo era indagato per una violazione alle norme di servizio includendo il classico link fasullo per effettuare l’accesso e verificare lo stato dell’arte.

I domini violati erano quelli che Salesforce utilizza quando gli utenti aprono i ticket (Case.salesforce.com) tramite la funzione Email-To-Case, che presentava il bug zero-day, e che hanno dato modo agli hacker di creare domini di posta elettronica con un livello aggiuntivo ma col dominio che in questo caso non veniva nemmeno camuffato come accade di solito. È proprio questa particolarità ad aver dato modo di evitare i controlli dei sistemi antivirus e antispam, che non hanno visto ovviamente la violazione. Inoltre, per rubare le credenziali si è sfruttata un’altra pagina dal dominio legittimo, ovvero quella di un gioco preesistente sulla piattaforma Facebook, che adesso non viene più supportata ma che non ha cancellato i giochi già esistenti. I dati venivano quindi rubati mediante una maschera di login appoggiata ad un terzo livello di Facebook, dando ancor più chance all’attacco di andare in porto.

Una volta che sono iniziate le segnalazioni, la prima delle quali è stata inviata a Salesforce, che a sua volta l’ha fatto con Meta, la problematica è rientrata in poco tempo, ma la piattaforma di Zuckerberg ha dovuto cancellare tutti gli account violati durante la campagna oltre a mantenere alto il livello di attenzione su altre attività sospette. Quello che abbiamo appena raccontato è un esempio di come gli hacker possono riuscire a far diventare difficile da riconoscere anche un attacco di phishing, che solitamente con qualche piccolo accorgimento si può riuscire ad evitare. In questi casi sicuramente gli stessi utenti potevano accorgersi che qualcosa non andava prima di fornire le credenziali ma le responsabilità stavolta risiedono pure su Salesforce e Facebook, che hanno reso possibile la perpetrazione di tutta la truffa e non hanno controllato sufficientemente i loro sistemi.

 

Fonte: 1