Hackere misbrugte falsk Salesforce-app og voice phishing
En økonomisk motiveret hackergruppe er blevet afsløret i at bruge en modificeret Salesforce-applikation sammen med voice phishing for at trænge ind i virksomheders systemer, stjæle følsomme data og afpresse organisationerne. Detaljerne om kampagnen blev offentliggjort af Google Threat Intelligence, et samarbejde mellem Mandiant og Googles Threat Analysis Group.
Falsk app, reel adgang
Hackerne skabte en manipuleret version af Salesforces Data Loader-app – et værktøj, der normalt anvendes til håndtering af større dataoverførsler på platformen. Men i stedet for at forbedre arbejdsgange blev den ondsindede app brugt til at udtrække følsomme virksomhedsdata og sikre hackerne vedvarende adgang til systemerne.
Det, der gjorde denne kampagne særligt farlig, var brugen af voice phishing, også kendt som vishing. Trusselsaktøren, identificeret som UNC6040 og tilknyttet det bredere cyberkriminelle netværk "The Com", ringede direkte til medarbejdere og udgav sig for at være betroede it-medarbejdere eller samarbejdspartnere. Under dække af legitime formål fik de ofrene til at installere den falske app, som gav adgang via OAuth-tokens – uden at medarbejderne anede mistanke.
Efter installationen kunne hackerne ubemærket overføre store mængder data ud af systemet. Det stjålne indhold blev sidenhen brugt som afpresningsmiddel. Kampagnen ramte organisationer i flere sektorer, herunder finans og industri.
Hvis du vil vide mere om, hvordan voice phishing og lignende svindelmetoder fungerer, kan du læse vores artikel om vishing og smishing her.
Ingen kompromittering af Salesforce-infrastrukturen
Google har præciseret, at Salesforce ikke selv blev kompromitteret. Hackerne udnyttede platformens model for tredjepartsintegrationer. Da brugerne selv installerede den falske app og tildelte tilladelser via OAuth, fik hackerne vedvarende adgang uden at aktivere de sædvanlige sikkerhedsalarmer.
Det understreger en kritisk sårbarhed i mange cloud-miljøer: Når adgangstilladelser og integrationer ikke håndteres korrekt, kan hackere udnytte menneskelig tillid frem for tekniske svagheder.
Styrk forsvaret: Googles anbefalinger
Som reaktion på kampagnen opfordrer Google organisationer til at indtage en mere proaktiv og lagdelt tilgang til cybersikkerhed. Anbefalingerne fokuserer på hærdning af konfigurationer samt bedre styring af tilladelser, adgang og brugeradfærd.
Vigtige sikkerhedstiltag omfatter:
-
Anvend 'least privilege principles'. Begræns adgangen til værktøjer som Data Loader til kun de brugere, der absolut har behov for det. Tilladelsen "API Enabled", som giver mulighed for omfattende dataeksport, bør begrænses strengt og gennemgås regelmæssigt. Hvis du vil vide mere om, hvordan denne tilgang styrker sikkerheden, kan du læse vores artikel om least privilege principles her.
-
Styr adgangen til forbundne applikationer. Kontroller, hvilke brugere og roller der kan godkende eller installere tredjepartsapps. Begræns kritiske tilladelser som "Tilpas applikation" og "Administrer forbundne apps" til betroede administratorer. Overvej at udvikle en godkendelsesproces, hvor kun verificerede apps er tilladt.
-
Indfør IP-baserede adgangsrestriktioner. Definér betroede IP-intervaller for både brugere og forbundne apps for at begrænse adgangen til kendte netværk. Det forhindrer uautoriserede login-forsøg, særligt fra kommercielle VPN-tjenester og ukendte geografiske placeringer.
-
Udnyt Salesforce Shield til overvågning og politikhåndhævelse. Brug funktioner som Transaction Security Policies og Event Monitoring til at registrere mistænkelig aktivitet, eksempelvis omfattende dataeksport eller afvigende brugeradfærd. Disse logdata kan integreres i dine interne sikkerhedssystemer for at muliggøre hurtig opdagelse og reaktion.
-
Implementér multifaktorautentificering (MFA) på tværs af hele organisationen. Selvom hackere kan forsøge at narre brugere til at godkende MFA-anmodninger, forbliver MFA et fundamentalt værn mod uautoriseret adgang. Uddan brugere i at genkende MFA-træthed og opfordr dem til at rapportere uventede loginforsøg.
Du kan læse mere om, hvorfor MFA er et vigtigt sikkerhedslag, i vores artikel om vigtigheden af multifaktorautentificering her.
En voksende tendens til misbrug af cloud-løsninger
Denne kampagne afspejler en bredere udvikling, hvor cyberkriminelle udnytter cloud-baserede værktøjer og social engineering til at opnå adgang og udføre angreb. I stedet for at bryde ind gennem tekniske sårbarheder, udnytter hackerne legitime adgangsmekanismer ved at manipulere brugere og misbruge tillid.
Efterhånden som virksomheder i stigende grad integrerer cloud-tjenester i deres drift, vil hackerne fortsætte med at rette fokus mod de mest sårbare led i kæden: tilladelser, mennesker og tillid.
Det vigtigste at tage med
Moderne cyberangreb afhænger ikke altid af malware eller zero-day-sårbarheder. Nogle gange er det eneste, der skal til, et telefonopkald og en overbevisende falsk app. Cybersikkerhed i dag kræver mere end teknologi – det kræver årvågenhed, klare retningslinjer og en dyb forståelse for, hvordan tillid i en organisation kan blive udnyttet.
Sarah Krarup
Sarah studerer innovation og entrepreneurship og har en dyb interesse for IT og hvordan cybersikkerhed påvirker virksomheder og private. Hun har stor erfaring med copywriting og en passion for at formidle viden om cybersikkerhed på en engagerende måde.
Se alle indlæg af Sarah Krarup
