[ad_1]

De nombreuses entreprises externalisent désormais leurs efforts de marketing auprès de fournisseurs de gestion de la relation client (CRM) basés sur le cloud. Mais lorsque les comptes de ces fournisseurs de CRM sont piratés ou hameçonnés, les résultats peuvent être préjudiciables à la fois pour la marque du client et pour ses clients. Voici un aperçu d’une récente campagne de phishing basée sur le CRM qui ciblait les clients d’un fournisseur d’équipements de construction Fortune 500 Locations unies.

United Rentals basé à Stamford, CT [NYSE:URI] est la plus grande société de location d’équipement au monde, avec quelque 18 000 employés et des revenus d’environ 4 milliards de dollars en 2018. Le 21 août, plusieurs clients de United Rental ont déclaré avoir reçu des e-mails de facturation avec des liens piégés qui ont conduit au téléchargement d’un logiciel malveillant pour quiconque cliquait.

Bien que les fausses factures soient un leurre courant pour les logiciels malveillants, cette campagne particulière a renvoyé les utilisateurs vers une page du site Web de United Rentals (unitedrentals.com).

Une capture d’écran de l’e-mail malveillant qui a usurpé United Rentals.

Dans un avis aux clients, la société a déclaré que les messages non autorisés n’avaient pas été envoyés par United Rentals. Une source qui avait au moins deux employés tombés dans le piège a transmis à BreachTrace une réponse de la division de la confidentialité d’UR, qui a imputé l’incident à un partenaire publicitaire tiers.

« Sur la base des connaissances actuelles, nous pensons qu’une partie non autorisée a eu accès à une plate-forme de fournisseur que United Rentals utilise dans le cadre de la conception et de l’exécution de campagnes par e-mail », indique la réponse.

« La partie non autorisée a pu envoyer un e-mail de phishing qui semble provenir de United Rentals via cette plate-forme », poursuit la réponse. « L’e-mail de phishing contenait des liens vers une prétendue facture qui, si on cliquait dessus, pouvait transmettre des logiciels malveillants au système du destinataire. Bien que notre enquête se poursuive, nous n’avons actuellement aucune raison de croire qu’il y a eu un accès non autorisé aux systèmes United Rentals utilisés par les clients, ou à tout système interne United Rentals.

United Rentals a déclaré à BreachTrace que son enquête jusqu’à présent ne révèle aucun compromis de ses systèmes internes.

« À ce stade, nous pensons qu’il s’agit d’un incident de phishing par e-mail dans lequel un tiers non autorisé a utilisé un système tiers pour générer une campagne par e-mail afin de diffuser ce que nous pensons être un cheval de Troie bancaire », a déclaré Dan Higgindirecteur de l’information d’UR.

United Rentals ne nommerait pas la société de marketing tierce supposée être impliquée, mais des recherches DNS passives sur le sous-domaine UR référencé dans l’e-mail de phishing (utilisé par UL pour le marketing depuis 2014 et visible dans la capture d’écran ci-dessus sous le nom « wVw.unitedrentals.com » ) pointe vers Pardotune division d’email marketing du géant du cloud CRM Force de vente.

Les entreprises qui utilisent des CRM basés sur le cloud dédient parfois un domaine ou un sous-domaine qu’elles possèdent spécifiquement à l’usage de leur fournisseur de CRM, permettant au CRM d’envoyer des e-mails qui semblent provenir directement des propres domaines du client. Cependant, dans de telles configurations, le contenu promu via le domaine du client est en fait hébergé sur les systèmes du fournisseur de CRM cloud.

Salesforce a déclaré à BreachTrace qu’il ne s’agissait pas d’un compromis de Pardot, mais d’un compte client Pardot qui n’utilisait pas l’authentification multifacteur.

« UR utilise une agence de marketing tierce qui utilise la plate-forme Pardot », a déclaré le porte-parole de Salesforce, Bradford Burns. « L’agence de marketing tierce est celle qui a été compromise, pas un employé de Pardot. »

Cette attaque fait suite à une autre campagne de phishing ciblée utilisant Pardot qui a été documentée plus tôt ce mois-ci par Netscope, une entreprise de sécurité cloud. Netskope’s Ashwin Vamchi ont déclaré que les utilisateurs de plates-formes CRM cloud ont un niveau de confiance élevé dans le logiciel car ils considèrent les données et les liens associés comme internes, même s’ils sont hébergés dans le cloud.

« Un grand nombre d’entreprises permettent à leurs fournisseurs et partenaires d’accéder à leur CRM pour télécharger des documents tels que des factures, des bons de commande, etc. (et cela se produit souvent sous forme de flux de travail automatisés) », Vamshi a écrit. « L’entreprise n’a aucun contrôle sur l’appareil du fournisseur ou du partenaire et, plus important encore, sur les fichiers téléchargés à partir d’eux. Dans de nombreux cas, les fichiers téléchargés par des fournisseurs ou des partenaires comportent un niveau élevé de confiance implicite. »

Les cybercriminels ciblent de plus en plus les fournisseurs de CRM cloud, car les comptes compromis sur ces systèmes peuvent être exploités pour mener des attaques de phishing extrêmement ciblées et convaincantes. Selon les statistiques les plus récentes (PDF) de la Groupe de travail anti-hameçonnageles fournisseurs de logiciels en tant que service (y compris les fournisseurs de CRM et de messagerie Web) étaient le secteur industriel le plus ciblé au premier trimestre 2019, représentant 36 % de toutes les attaques de phishing.

Image : APWG

Mise à jour, 14 h 55 HE : Ajout de commentaires et de réponses de Salesforce.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *