مجرمان سایبری از سرویس ایمیل دسته جمعی Salesforce برای فریب افراد در واگذاری شماره های کارت اعتباری ، اطلاعات کاربری و سایر اطلاعات شخصی خود در یک کمپین فیشینگ جدید استفاده می کنند که تهدیدهای مربوط به شبکه های شرکتی را که ممکن است از آدرس های ایمیل سفید لیست شوند ، برجسته می کند.
یک پست اخیر وبلاگ از ارائه دهنده خدمات امنیت ایمیل Perception Point ، بازیگران بد با جعل هویت سرویس پستی اسرائیل در کمپینی که چندین سازمان اسرائیلی را هدف قرار داده است ، از طریق سرویس ایمیل Salesforce ایمیل های فیشینگ ارسال می کنند.
در پست وبلاگ ، نقطه ادراک میری اسلاوتوسکی و شای گلدرمن تحلیلگران امنیت سایبری نوشتند که این برای اولین بار است که می بینند مهاجمان از خدمات Salesforce برای اهداف مخرب سوء استفاده می کنند. دریافت یک ایمیل منحصر به فرد ، که مخصوص شما ایجاد شده است. "Slavotsky and Golderman wro te "تلاش های جعلی Salesforce برای ما چیز جدیدی نیست. یک نمونه معمولی از مهاجمان جعل ایمیل از Salesforce برای سرقت اعتبار است. در این مورد ، مهاجمان در واقع خدمات را خریداری کرده و از آن سوء استفاده کرده اند. می دانیم که اکثر شرکت ها از این سرویس به عنوان بخشی از تجارت خود استفاده می کنند و بنابراین آن را در لیست سفید و حتی مجاز در SPF خود ثبت کرده اند. " آنها نوشتند که اکثر سرویس های امنیتی ایمیل نمی توانند حملات را با استفاده از بستر مشروع Salesforce تشخیص دهند زیرا آنها "کورکورانه معتقدند که Salesforce یک منبع امن است" ، حتی تا آنجا که آدرس IP خدمات را برای ساده سازی فرایند ایمیل در لیست سفید قرار داده اند.
"در حالی که توصیه Salesforce این است که تمام محدوده IP آنها را در لیست سفید قرار دهید ، این باعث ایجاد آسیب پذیری در شبکه شرکت شما می شود. " "ایجاد این نوع لیست سفید اساساً این واقعیت را نادیده می گیرد که این پلت فرم ممکن است برای اهداف مخرب استفاده شود. با ایجاد چنین لیست سفید ، شخص اساساً در امنیت سازمانی خود حفره ای ایجاد می کند که چنین ایمیل هایی می توانند مستقیماً از طریق آن عبور کنند. هنگامی که کاربران چنین ایمیل هایی را دریافت می کنند ، نمی توانند تشخیص دهند که این ایمیل از طریق یک پلت فرم ایمیل جمعی ارسال شده است. " یک منبع قابل اعتماد می تواند منجر به نقض امنیت شود ، "استفاده از نگرش اعتماد صفر همراه با مکانیسم فیلترینگ قوی برای هر محتوایی که بدون توجه به منبع وارد سازمان می شود ضروری است: ایمیل ، ابزارهای همکاری یا پیام فوری."
Spoofing Salesforce
در این مورد ، بازیگران بد ایمیل قربانیان را از طریق سرویس ایمیل Salesforce که ظاهراً از سرویس پستی اسرائیل ارسال شده است ، به گیرنده می گویند که بسته ای بسته شده است زیرا هزینه حمل و نقل پرداخت نشده است. این ایمیل از طرف Perception Point فرستنده استاندارد همه ایمیلهای salesforce.com ارسال شد.
ایمیل فیشینگ حاوی پیوندی است که به طور خودکار قربانی را به یک وب سایت جعلی سرویس پستی اسرائیل هدایت می کند که کاربر را مجبور به وارد کردن کارت اعتباری می کند. جزئیات. سپس کاربر به صفحه دیگری هدایت می شود که نیاز به تأیید از طریق کد پیامکی دارد. اطلاعات خود را کنار بگذارند و انجام این کار چقدر آسان است. محققان دریافتند سرور مخرب که وب سایت را اجرا می کند ، بدون احراز هویت قابل دسترسی است و توسط وب سرور LiteSpeed توسعه و میزبانی شده است. علاوه بر این ، این سایت دارای گواهی نامه ای است که برای آن صادر شده است. به گفته Saumitra Das ، CTO شرکت امنیت سایبری Blue Hexagon ، گروه جرایم سایبری مستقر در روسیه (همچنین با نام های APT29 و CozyBear شناخته می شود) در پشت نقض زنجیره تأمین SolarWinds قرار دارند. در آخرین کمپین فیشینگ نوبلیوم که توسط مایکروسافت در ماه مه گزارش شد ، این گروه از خدمات بازاریابی ایمیلی رایج Constant Contact استفاده کرد. داس به eSecurity Planet گفت: [بیشاز7000حسابدرحدود350سازماندولتی،IGOهاوNGOها»
او گفت که جعل معمولاً شامل ایجاد منبع برای مشروع جلوه دادن یا استفاده از غلط املایی است.
" روش هایی برای تشخیص جعل وجود دارد ، اما در این مورد ایمیل ها معتبر به نظر می رسند و همچنین از جایی که گفته می شود از آنجا آمده است ، می آید. "داس گفت ، در مورد مثال Salesforce ،" این بدان معناست که مهاجمان از طریق اولین فایروال ایمیل هم از دیدگاه امضای اطلاعات تهدید برای مسدود کردن منابع بد شناخته شده و هم به نوعی غریزه خود کاربران برای مشکوک بودن به چیزی که وجود دارد به معمول است که حملات از طریق راه حل های امنیتی ایمیل دریافت می شوند ، اما پس از آن کاربران آموزش دیده یا باهوش خط دفاعی بعدی هستند. این [use of a legitimate email service] شانس آنهایی را که کاربران روی پیوندها یا بارگیری فایلهای ضمیمه کلیک کنند ، افزایش می دهد. استفان باندا ، مدیر ارشد راه حل های امنیتی در فروشنده امنیت سایبری Lookout ، به این سرویس گفت eSecurity Planet .
"عمل ثبت نام قانونی برای یک سرویس ایمیل با قصد استفاده کامل از آن برای بدخواهی یک استراتژی ابتکاری است ، "باندا گفت. "این نقض باید هشداری برای همه ارائه دهندگان خدمات باشد تا درمورد افرادی که درخواست دسترسی به خدمات خود را دارند ، دقت لازم را انجام دهند تا از این نوع کلاهبرداری در آینده جلوگیری شود." به گفته استفانو دی بلاسی ، تحلیلگر اطلاعات تهدیدات سایبری با شرکت حفاظت از ریسک های دیجیتال Digital Shadows ، استراتژی فیشینگ یکی دیگر از دلایل اتخاذ معماری اعتماد صفر است ، به این معنی که فرض بر این است که یک ایمیل از خارج از سازمان تا زمانی که خلاف آن ثابت نشود ، مخرب است.
د بلاسی به eSecurity Planet گفت: "اگرچه زمان برتر از روش سنتی است ، معماری اعتماد صفر می تواند تاثیر بالقوه این مبارزات فیشینگ توده مخرب را به میزان قابل توجهی کاهش دهد و همیشه باید به عنوان اولین گزینه در نظر گرفته شود." .
علاوه بر این ، همراه با راه حل های استاندارد مانند درگاه های ایمن ایمیل ، فیلترهای هرزنامه و حفاظت از فیشینگ ، سازمان ها باندا می گوید که باید در آموزش های امنیتی سرمایه گذاری شود تا کارکنان در مورد تهدیداتی که ممکن است پیش بیاید بیشتر آگاه شوند ، و افزود که شبیه سازی فیشینگ راهی برای ارائه آموزش است که به مردم یک تجربه واقعی از زندگی واقعی را می دهد.
"سازمان ها نیز نیاز دارند راه حلی برای امنیت تلفن همراه وجود دارد که حملات فیشینگ را شناسایی و مسدود کند. " "این راه حل همچنین باید هر بار که پیوندی تشخیص داده می شود ، کاربران را در مورد فیشینگ آموزش دهد. با گذشت زمان ، این باعث افزایش آگاهی می شود تا کاربران حتی م effectiveثرترین حملات فیشینگ را زیر سال ببرند.