Des pirates ont exploité une vulnérabilité zero day dans les services de messagerie et les serveurs SMTP de Salesforce pour lancer une campagne de phishing sophistiquée ciblant des comptes Facebook de grande valeur.
Les attaquants ont utilisé une faille baptisée « PhishForce » pour contourner les garanties de vérification de l’expéditeur de Salesforce et les bizarreries de la plateforme de jeux en ligne de Facebook afin d’envoyer en masse des courriels d’hameçonnage.
L’avantage d’utiliser une passerelle de messagerie réputée comme Salesforce pour distribuer des courriels de phishing est d’échapper aux passerelles de messagerie sécurisées et aux règles de filtrage, ce qui garantit que les courriels malveillants atteignent la boîte de réception de la cible.
La solution CRM de Salesforce permet aux clients d’envoyer des courriels sous leur propre marque en utilisant des domaines personnalisés que la plateforme doit d’abord vérifier.
En cliquant sur le bouton intégré, la victime accède à une page de phishing hébergée et affichée dans le cadre de la plateforme de jeux Facebook, ce qui confère une légitimité supplémentaire à l’attaque et empêche les destinataires du courrier électronique de se rendre compte de la fraude.
Après avoir confirmé les problèmes en reproduisant la création d’une adresse de marque Salesforce capable de diffuser des courriels d’hameçonnage, Guardio Labs a informé le fournisseur de sa découverte le 28 juin 2023.