한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
홈페이지피싱 캠페인, Salesforce 결함을 악용하여 Facebook 사용자 공격
홈 » Security Boulevard (원본) » 피싱 캠페인, Salesforce 결함을 악용하여 Facebook 사용자 공격
알려지지 않은 악의적인 행위자가 Salesforce 이메일 서비스의 제로데이 결함을 악용하는 정교한 피싱 캠페인을 실행하여 해커가 Facebook 계정에서 정보를 훔치는 동시에 클라우드 거대 기업의 적법성 뒤에 숨어 있을 수 있도록 했습니다.
Guardio Labs 연구원들은 "PhishForce"라고 불리는 취약점을 활용하여 공격자들이 Facebook 모회사인 Meta에서 보낸 것으로 보이는 이메일을 생성하고 "@salesforce.com" 도메인을 포함하여 게이트웨이 및 필터와 같은 기존 보안 보호 장치를 몰래 통과할 수 있도록 했습니다.
Meta 및 Salesforce 이름은 메시지에 신뢰성을 부여하고 대상 사용자가 이메일을 클릭할 가능성이 더 높아질 수 있습니다.
Guardio Labs의 연구원인 Oleg Zaytsev와 Nati Tal은 보고서에서 "따라서 이 이메일이 전통적인 스팸 방지 및 피싱 방지 메커니즘을 통과하지 못하는 것을 본 것은 당연한 일입니다."라고 썼습니다. "여기에는 (facebook.com에 대한) 합법적인 링크가 포함되어 있으며 세계 최고의 [고객 관계 관리] CRM 제공업체 중 하나인 @salesforce.com의 합법적인 이메일 주소에서 전송됩니다."
이 캠페인에서 악용된 Salesforce 서비스와 같은 이메일 게이트웨이 서비스는 제품 홍보부터 광고까지 모든 것에 대해 대량의 이메일을 정기적으로 보냅니다. 이는 합법적인 서비스를 통해 악의적인 이메일을 보내는 위협 행위자들에게 "볼륨뿐만 아니라 해당 게이트웨이의 평판에 대한 액세스 권한도 제공하여 일반적으로 IP 및 도메인을 조직 또는 네트워크 전체에서 화이트리스트에 추가하는 데 도움이 됩니다"라고 연구원은 썼습니다. .
대상의 메일함에 들어온 피싱 메일에는 해당 인물의 이름을 언급하고 페이스북 계정이 '사칭 의혹'으로 조사 중이라는 내용과 함께 페이지 하단에 파란색 박스를 삽입해 사용자가 클릭할 수 있도록 했다. “검토를 요청하세요.”
그렇게 하면 Facebook 앱 플랫폼에서 게임으로 호스팅되고 apps.facebook.com 도메인을 사용하는 랜딩 페이지로 연결됩니다. 이는 사용자에게 이메일의 정당성을 확신시키는 또 다른 단계입니다. 공격자가 Facebook 계정 자격 증명과 2단계 인증(2FA) 정보를 훔치는 곳이 바로 여기입니다.
Salesforce의 이메일 게이트웨이 기능은 대규모 CRM 시스템의 일부이며 고객이 대량 이메일 알림 및 메시지를 보낼 수 있도록 해줍니다. Salesforce에서는 이메일을 보내기 전에 고객이 이메일 주소를 확인하여 대량 메시지가 전송되는 도메인 이름을 소유하고 있는지 확인하도록 합니다.
Zaytsev와 Tal은 “원하는 이메일 받은 편지함으로 전송된 확인 링크를 클릭하기만 하면 Salesforce 백엔드에 그에 따라 발신 이메일을 구성할 수 있는 권한이 부여됩니다.”라고 썼습니다.
즉, 연구원들은 처음에는 해커들이 Salesforce 이메일 서비스에서 확인 이메일을 보내는 것을 매우 어렵게 만드는 보안 기능을 통과할 수 있는 방법을 발견할 수 없었습니다. 그들은 공격자가 기업이 지원 팀을 위해 인바운드 이메일을 실행 가능한 티켓으로 자동 변환하는 데 사용하는 Salesforce의 Email-to-Case 기능을 조작할 수 있다는 사실을 발견했습니다.
연구원들은 이것이 인바운드 이메일에만 사용되는 일반적인 기능이지만, 어떻게든 해커들은 정확한 주소를 사용하여 메시지를 보낼 수 있었다고 말했습니다. 그들은 새로운 Email-to-Case 흐름을 생성하여 Salesforce에서 생성된 이메일 주소를 제어한 다음 공식 아웃바운드 흐름의 주소를 사용하여 Salesforce의 대량 메일러 게이트웨이를 통해 "조직 전체 이메일 주소"로 확인했습니다. 그런 다음 해커는 해당 주소를 사용하여 도메인 이름의 소유권을 확인했습니다.
확인이 완료되면 Salesforce 이메일 주소를 사용하여 다른 피싱 방지 및 스팸 방지 보호 기능을 우회하는 메시지를 보낼 수 있습니다.
사이버 보안 회사인 Qualys의 취약성 및 위협 연구 관리자인 Saeed Abbasi는 Security Boulevard에 이번 공격이 "단순한 이메일 사기가 아니라 여러 플랫폼과 서비스에 걸쳐 복잡하게 얽힌 취약성"이라고 말했습니다.