حملہ آوروں کو حال ہی میں سیلز فورس کی ای میل اور SMTP سروسز میں صفر دن کی خامی کا فائدہ اٹھاتے ہوئے دیکھا گیا۔ فشنگ مہم کا مقصد فیس بک صارفین سے اسناد چرانا ہے۔
گارڈیو کے محققین نے سائبر حملہ آوروں کا پتہ لگایا جو جائز استعمال کرتے ہوئے @salesforce.com پتوں کے ساتھ ٹارگٹ فشنگ ای میلز بھیج رہے ہیں۔ سیلز فورس کا بنیادی ڈھانچہ. ایک تحقیقات سے یہ بات سامنے آئی ہے کہ وہ صارفین کے ساتھ ڈومین کی قابل اعتماد حیثیت کو چھپانے کے لیے سیلز فورس ای میل کی توثیق کی خامی کا فائدہ اٹھانے میں کامیاب رہے اور ای میل تحفظات اسی طرح.
ای میلز بھیجنے والے نے دعویٰ کیا کہ وہ "میٹا پلیٹ فارمز" ہیں، اور پیغامات میں فیس بک پلیٹ فارم کے جائز لنکس شامل تھے، جس سے قانونی حیثیت کو مزید تقویت ملی۔
گارڈیو لیبز کے اولیگ زیٹسی اور نیٹی تال پوسٹ میں نوٹ کیا گیا ہے۔. "اس میں قانونی لنکس (facebook.com پر) شامل ہیں اور یہ @salesforce.com کے جائز ای میل ایڈریس سے بھیجا جاتا ہے، جو دنیا کے معروف CRM فراہم کنندگان میں سے ایک ہے۔"
پیغامات نے وصول کنندگان کو ایک بٹن کے ذریعے ایک جائز Facebook ڈومین، apps.facebook.com کی طرف ہدایت کی، جہاں انہیں یہ بتانے کے لیے مواد میں تبدیلی کی گئی ہے کہ انہوں نے فیس بک کی سروس کی شرائط کی خلاف ورزی کی ہے۔ وہاں سے، ایک اور بٹن ایک فشنگ صفحہ کی طرف لے گیا جس نے ذاتی تفصیلات جمع کیں، بشمول پورا نام، اکاؤنٹ کا نام، ای میل پتہ، فون نمبر، اور پاس ورڈ۔
بہر حال، "کسٹمر کے ڈیٹا پر اثر کا کوئی ثبوت نہیں ہے،" Salesforce گارڈیو کو بتایا۔ دریں اثنا، خامی کو ٹھیک کر دیا گیا ہے۔
بند شدہ فیس بک گیمز کا غلط استعمال
فیس بک کی طرف، حملہ آوروں نے ایک ویب ایپ گیم بنا کر apps.facebook.com کا غلط استعمال کیا، جو اپنی مرضی کے مطابق کینوس کی اجازت دیتا ہے۔ فیس بک نے لیگیسی گیم کینوسز بنانے کی صلاحیت کو بند کر دیا ہے، لیکن موجودہ گیمز جو کہ فیچر کے اختتام سے پہلے تیار کیے گئے تھے، ان میں دادا شامل تھے۔ ایسا لگتا ہے کہ بدنیتی پر مبنی اداکاروں نے ان اکاؤنٹس تک رسائی کا غلط استعمال کیا، محققین نے کہا۔
ایسا کرنے سے، وہ "براہ راست فیس بک پلیٹ فارم میں بدنیتی پر مبنی ڈومین مواد داخل کر سکتے ہیں - ایک فشنگ کٹ پیش کرتے ہوئے جو خاص طور پر فیس بک اکاؤنٹس کو چوری کرنے کے لیے بنایا گیا ہے جس میں ٹو فیکٹر توثیق (2FA) میکانزم کو بائی پاس کرنا شامل ہے"، محققین نے مزید کہا کہ فیس بک پیرنٹ میٹا "فوری طور پر۔ بدمعاش اکاؤنٹس اور ویب گیم کو ہٹا دیا۔
پوسٹ کے مطابق، میٹا کی انجینئرنگ ٹیم نے گارڈیو کو بتایا، "ہم یہ دیکھنے کے لیے بنیادی وجہ کا تجزیہ کر رہے ہیں کہ اس قسم کے حملوں کے لیے ہماری کھوج اور تخفیف کیوں کام نہیں کرتی ہے۔"
جائز میل گیٹ ویز کی حفاظت
کی مقدار فشنگ حملوں اور گھوٹالے اعلی رہتا ہے, حملہ آوروں کے ساتھ ایک پرانی قسم کی سوشل انجینئرنگ جو اب بھی کام کرتی ہے، کو ایک نیا گھماؤ لگانے اور اس کی نفاست کو بڑھانے کے طریقے تلاش کر رہے ہیں۔ درحقیقت، یہ اکثر رینسم ویئر اور دیگر حملوں کو شروع کرنے کے لیے کارپوریٹ نیٹ ورکس میں داخلے کے ابتدائی نقطہ کے طور پر استعمال ہوتا ہے۔
حالیہ مہمات کا ایک ابھرتا ہوا اور متعلقہ پہلو ہے۔ ایک استحصال بظاہر جائز خدمات، جیسا کہ CRMs جیسے Salesforce، مارکیٹنگ پلیٹ فارمز، اور بدنیتی پر مبنی سرگرمیاں انجام دینے کے لیے کلاؤڈ بیسڈ ورک اسپیسز، محققین نے نوٹ کیا: "یہ ایک اہم حفاظتی خلا کی نمائندگی کرتا ہے، جہاں روایتی طریقے اکثر ترقی پذیر اور ترقی یافتہ کے ساتھ رفتار برقرار رکھنے کے لیے جدوجہد کرتے ہیں۔ دھمکی آمیز اداکاروں کے ذریعہ استعمال کی جانے والی تکنیک۔
اس کے بعد، سروس فراہم کرنے والوں کو ان پلیٹ فارمز کو محفوظ اور معروف میل گیٹ ویز کا استحصال کرنے والے فشنگ گھوٹالوں میں غلط استعمال ہونے سے روکنے کے لیے اپنی سیکیورٹی گیم کو تیز کرنے کی ضرورت ہے۔ ایسا کرنے کے اقدامات میں صارفین کی قانونی حیثیت کو یقینی بنانے کے لیے تصدیقی عمل کو تقویت دینا، نیز گیٹ وے کے کسی بھی غلط استعمال کی فوری طور پر نشاندہی کرنے کے لیے جامع جاری سرگرمی کا تجزیہ کرنا، چاہے ضرورت سے زیادہ حجم کے ذریعے ہو یا میٹا ڈیٹا جیسے میلنگ لسٹ اور مواد کی خصوصیات کے تجزیہ کے ذریعے۔
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ آٹوموٹو / ای وی، کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- بلاک آفسیٹس۔ ماحولیاتی آفسیٹ ملکیت کو جدید بنانا۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/application-security/salesforce-zero-day-exploited-phish-facebook-credentials
- : ہے
- : ہے
- :کہاں
- $UP
- 2FA
- 7
- a
- کی صلاحیت
- قابلیت
- تک رسائی حاصل
- کے مطابق
- اکاؤنٹ
- اکاؤنٹس
- سرگرمیوں
- سرگرمی
- اداکار
- انہوں نے مزید کہا
- پتہ
- اعلی درجے کی
- مقصد
- اسی طرح
- کی اجازت دیتا ہے
- تبدیل
- an
- تجزیہ
- اور
- ایک اور
- کوئی بھی
- اپلی کیشن
- ظاہر ہوتا ہے
- ایپس
- AS
- پہلو
- At
- حملے
- کی توثیق
- BE
- رہا
- پیچھے
- کیا جا رہا ہے
- لیکن
- بٹن
- by
- مہم
- مہمات
- لے جانے کے
- کیونکہ
- خصوصیات
- دعوی کیا
- COM
- وسیع
- چل رہا ہے
- مواد
- کارپوریٹ
- سکتا ہے
- تخلیق
- تخلیق
- اسناد
- CRM
- گاہک
- کسٹمر کا ڈیٹا
- اپنی مرضی کے مطابق
- اعداد و شمار
- ڈیزائن
- تفصیلات
- پتہ چلا
- ترقی یافتہ
- براہ راست
- do
- کر
- ڈومین
- ای میل
- ای میل
- کرنڈ
- ملازم
- آخر
- انجنیئرنگ
- کو یقینی بنانے کے
- اندراج
- ثبوت
- تیار ہوتا ہے
- موجودہ
- دھماکہ
- استحصال کیا۔
- فیس بک
- حقیقت یہ ہے
- نمایاں کریں
- تلاش
- مقرر
- غلطی
- کے لئے
- سے
- مکمل
- مزید
- کھیل ہی کھیل میں
- فرق
- گیٹ وے
- دروازے
- گارڈ
- ذاتی ترامیم چھپائیں
- HTTPS
- شناخت
- اثر
- in
- شامل
- شامل
- شامل ہیں
- سمیت
- اضافہ
- مطلع
- ابتدائی
- میں
- تحقیقات
- IT
- فوٹو
- رکھیں
- لیبز
- شروع
- معروف
- قیادت
- کی وراست
- علامہ
- مشروعیت
- جائز
- کی طرح
- لنکس
- فہرستیں
- مارکیٹنگ
- دریں اثناء
- میکانزم
- نظام
- پیغامات
- میٹا
- میٹا پلیٹ فارمز
- میٹا ڈیٹا
- طریقوں
- غلط استعمال کے
- نام
- ضرورت ہے
- نیٹ ورک
- نئی
- نہیں
- کا کہنا
- تعداد
- of
- اکثر
- پرانا
- on
- ایک
- جاری
- or
- دیگر
- ہمارے
- باہر
- امن
- صفحہ
- پاس ورڈ
- ذاتی
- فش
- فشنگ
- فشنگ گھوٹالے
- فون
- پلیٹ فارم
- پلیٹ فارم
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- پوائنٹ
- پوسٹ
- کی روک تھام
- پہلے
- عمل
- فراہم کرنے والے
- ڈال
- جلدی سے
- ransomware کے
- RE
- حال ہی میں
- حال ہی میں
- وصول کنندگان
- ہٹا دیا گیا
- کی نمائندگی کرتا ہے
- قابل بھروسہ
- محققین
- انکشاف
- جڑ
- s
- کہا
- فروختforce
- گھوٹالے
- محفوظ بنانے
- سیکورٹی
- دیکھنا
- بظاہر
- دیکھا
- بھیجنے والا
- بھیجنا
- بھیجا
- سروس
- سروسز
- کی طرف
- اہم
- پھسلنا
- سماجی
- معاشرتی انجینرنگ
- بہتر
- نفسیات
- خاص طور پر
- سپن
- درجہ
- مرحلہ
- مراحل
- ابھی تک
- جدوجہد
- اس طرح
- ھدف بنائے گئے
- ٹیم
- تکنیک
- شرائط
- کہ
- ۔
- دنیا
- ان
- ان
- تو
- وہاں.
- یہ
- وہ
- اس
- خطرہ
- دھمکی دینے والے اداکار
- کے ذریعے
- کرنے کے لئے
- روایتی
- قابل اعتماد
- قسم
- استعمال کیا جاتا ہے
- صارفین
- کا استعمال کرتے ہوئے
- Ve
- توثیق
- کی طرف سے
- خلاف ورزی کی
- حجم
- طریقوں
- we
- ویب
- اچھا ہے
- تھے
- چاہے
- جس
- کیوں
- ساتھ
- کام
- کام کرتا ہے
- دنیا
- زیفیرنیٹ