Vishing-Angriffe zielen auf Salesforce-User
Die Google Threat Intelligence Group warnt vor gezieltem Voice-Phishing gegen Unternehmen, die Salesforce-Anwendungen nutzen. Die Angreifer nutzen Social Engineering, um manipulierte Tools in unternehmensinterne Systeme einzuschleusen und sich so Zugang zu sensiblen Daten zu verschaffen.
Gemäss der Google Threat Intelligence Group (GTIG) nimmt derzeit ein Bedrohungsakteur mit der Bezeichnung UNC6040 Unternehmen ins Visier, die Cloud-Dienste von Salesforce einsetzen. Über Voice-Phishing oder Vishing - oft getarnt als vermeintlicher IT-Support - versuchen Angreifer, Mitarbeitende via Social Engineering zu Handlungen zu verleiten, die ihnen Zugriff auf Anmeldeinformationen oder autorisierte Zugänge verschaffen. Besonders betroffen sind laut einer Mitteilung von GTIG englischsprachige Niederlassungen multinationaler Konzerne.
Social Engineering als primäre Vorgehensweise
Wie es weiter heisst, instruieren die Angreifer ihre Opfer häufig, eine manipulierte, nicht offizielle Version des Tools Data Loader über die Salesforce-Plattform zu autorisieren. So gewinnen die Angreifer weitreichenden Zugriff auf grosse Mengen sensibler Daten. Die Infrastruktur der Angreifer umfasse dabei auch Okta-Phishing-Panels und Mullvad-VPN-Adressen, um ihre Herkunft zu verschleiern. Zudem könnten Angreifer über bereits kompromittierte Anmeldeinformationen zu weiteren Cloud-Systemen wie Okta oder Microsoft 365 gelangen und dort zusätzliche Informationen abrufen.
Ein Kernelement der Methodik von UNC6040 ist demnach die Ausnutzung vertrauenswürdiger Rollen wie des IT-Supports, um bestehende Sicherheitsmechanismen zu umgehen. Laut GTIG ähnelt die Vorgehensweise der Angreifer jener anderer Gruppen aus dem Umfeld des als "The Com" bezeichneten Hackerkollektivs.
Bei Zugriffsrechten ist Vorsicht geboten
GTIG rät betroffenen Unternehmen, bei der Vergabe von Zugangsrechten vorsichtig zu sein; vor allem bei Tools, die wie Data Loader umfangreiche Zugriffe ermöglichen. Des Weiteren sollten Unternehmen IP-basierte Zugriffsbeschränkungen etablieren, um Angriffe von ausserhalb des Unternehmensnetzwerks effektiv zu erkennen und zu blockieren. Die Überwachung von Massendatenexporten und API-Nutzung, Multi-Faktor-Authentifizierungen sowie regelmässige Schulungen von Mitarbeitenden könnten zudem dabei helfen, Angriffsversuche frühzeitig zu erkennen.
Im Jahr 2024 registrierte das Bundesamt für Cybersicherheit (BACS) in der Schweiz eine Verdreifachung von Vishing-Fällen durch vermeintliche Behörden - mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Update: Nationale Adressdatenbank steht vor Schlussabstimmung
Kritisches Denken wappnet uns gegen die Tücken der KI
Fragmentierte Prozesslandschaften und Tool-Wildwuchs
Peoplefone feiert Jubiläum und Partner an der ETH
Kontrollverlust durch KI ist kein Risiko mehr, sondern Realität
Empa-Roboter liefert grössten offenen Datensatz für Batterieforschung
Samsung 9100 Pro SSD – maximale Power für anspruchsvolle User
KI-Power an der Limmat: Ideenlabor Zürich
Digitale Selbstbestimmung – was IT-Souveränität wirklich bedeutet
