Source: D3Lab. Dans les derniers jours, l’équipe Cyber Threat Intelligence de D3Lab a détecté une campagne de phishing visant Facebook Business.
L’élément mis en avant est l’utilisation de l’infrastructure de Salesforce — un des principaux CRM au monde — comme vecteur, ce qui rend la campagne particulièrement insidieuse. 🎣☁️
Une récente campagne de phishing ciblant Facebook Business a été détectée, exploitant de façon ingénieuse l’infrastructure légitime de Salesforce. Les emails frauduleux proviennent d’adresses totalement authentiques comme noreply@salesforce.com et parviennent à passer tous les contrôles de sécurité standards (SPF), ce qui les rend particulièrement difficiles à identifier et bloquer. Les cybercriminels obtiennent un accès à Salesforce via l’offre de démonstration gratuite, puis l’utilisent pour envoyer des notifications qui semblent officielles et fiables.
Dans ces messages, les victimes sont accusées – à tort – d’avoir partagé des contenus protégés par le droit d’auteur, avec la menace d’actions juridiques imminentes. Un faux numéro de dossier ajoute à la pression psychologique exercée. Un lien, qui paraît légitime car il ressemble à une adresse business.facebook.com, redirige en réalité vers un site malveillant, conçu pour voler les identifiants de connexion.
La force de cette attaque réside dans la combinaison de crédibilité technique et de manipulation émotionnelle : l’utilisation d’un service réputé comme Salesforce inspire confiance, tandis que le ton juridique et pressant pousse à agir sans vérifier. Pour se protéger, il est essentiel d’inspecter scrupuleusement les liens dans les emails, de ne pas céder à la panique face à des menaces légales non vérifiées et de renforcer la sensibilisation et la formation des collaborateurs.
L’objectif de la publication est d’alerter sur cette campagne de phishing et sa spécificité liée à l’infrastructure Salesforce, telle qu’observée par l’équipe CTI de D3Lab.
🧠 TTPs et IOCs détectés
TTPs
T1566.002 - Spearphishing Link, T1583.001 - Acquire Infrastructure: Domains
IOCs
Salesforce infrastructure (noreply@salesforce.com)
🔗 Source originale : https://www.d3lab.net/phishing-contro-facebook-veicolato-da-salesforce-quando-i-criminali-sfruttano-i-crm-legittimi/