Actores de amenazas han enviado correos electrónicos de apariencia legítima diseñados para atraer a los usuarios a una página de phising donde debían indicar la información de su cuenta de Facebook, incluyendo su nombre, contraseña, dirección de email, número de teléfono y contraseña.
Estos emails se mandaban desde una dirección del servicio de correo de salesforce.com y mencionaban el nombre real del usuario objetivo, simulando que procedían de Meta.
La excusa era una supuesta violación de los términos de servicio de Facebook. Por ello, en los correos electrónicos se incluía un botón que dirigía a los usuarios a un dominio legítimo de la red social.
Sin embargo, al hacer click en un botón para resolver el problema, eran llevados a una página de phising dentro de Facebook que les indicaba que proporcionaran su información personal.
Que los emails provinieran de una dirección de Salesfoce.com y que el citado enlace apuntara a Facebook le daba a este phising una apariencia de veracidad, eludiendo las herramientas de seguridad tradicionales.
La clave está en una vulnerabilidad
Desde Guardio descubrieron que los atacantes se habían dirigido al componente Email Gateway en Salesforce CRM, específicamente a una característica de 'Email-To-Case' diseñada para convertir los correos electrónicos entrantes de los clientes en tickets accionables en Salesforce.
Abusando de esta función, el atacante podía recibir correos electrónicos de verificación que le daban control sobre una dirección de email genuina de Salesforce que podría usar para comunicaciones con phishing.
Los cibermalos pudieron colar el phising en Facebook, porque este se alojaba en una plataforma de juegos web heredada por la red social en 2021. Aunque esta plataforma fue suspendida, todos los juegos desarrollados antes de esa hecha todavía podían recibir soporte. Parece que los atacantes lograron acceso a una cuenta asociada.
Salesforce fue informada sobre el problema el pasado 28 de junio e implementó una solución a todos los servicios e instancias afectadas en un mes. La compañía también asegura que no ha encontrado evidencias de que los datos de los clientes hayan sido usados por los ciberdelincuentes.
Por su parte, los equipos de ingeniería y seguridad de Meta también fueron avisados y eliminaron las cuentas y el juego maliciosos. La firma de Mark Zuckerberg indicó que estaba llevando a cabo un análisis para determinar por qué sus detecciones y mitigaciones existentes no consiguieron prevenir el abuso.