Google warnt vor gezielten Angriffen
Angriffe auf Salesforce-Nutzer führen zu Datendiebstahl und Erpressung
Eine neue Angriffswelle nutzt Telefonanrufe und manipulierte Salesforce-Apps, um an vertrauliche Unternehmensdaten zu gelangen. Google berichtet von professionell organisierten Tätern, die später mit gestohlenen Daten erpressen.
Laut Google versuchten Cyberkriminelle, Mitarbeitende per Telefon dazu zu bewegen, gefälschte Salesforce-Apps zu genehmigen. Die Angriffe zielten darauf ab, über den sogenannten Data Loader Zugang zu vertraulichen Unternehmensdaten zu erhalten. Dabei nutzten die Angreifer eine Kombination aus Voic...
Laut Google versuchten Cyberkriminelle, Mitarbeitende per Telefon dazu zu bewegen, gefälschte Salesforce-Apps zu genehmigen. Die Angriffe zielten darauf ab, über den sogenannten Data Loader Zugang zu vertraulichen Unternehmensdaten zu erhalten. Dabei nutzten die Angreifer eine Kombination aus Voice Phishing („Vishing“) und Social Engineering.
Neue Taktiken mit eigenen Tools
Google zufolge hätten die Täter – eine Gruppe mit dem Codenamen UNC6040 – ihre Methoden inzwischen weiterentwickelt. Statt offizieller Salesforce-Werkzeuge kämen nun selbst programmierte Tools zum Einsatz, häufig in Python geschrieben. Die Erstkontakte erfolgten meist über VPN oder das TOR-Netzwerk, was eine Nachverfolgung erschwere.
Nachgelagerte Erpressung durch weitere Tätergruppe
Wo es den Angreifern gelungen sei, Daten abzugreifen, folge Wochen später oft eine Erpressung. Diese werde laut Google von einer anderen Gruppe – UNC6240 – durchgeführt. Die Erpresser gäben sich als Mitglieder der Gruppe ShinyHunters aus und drohten mit der Veröffentlichung sensibler Informationen, sollte kein Lösegeld gezahlt werden.
Google warnt betroffene Nutzer aktiv
Google hat betroffene Unternehmen per E-Mail über potenzielle Kompromittierungen informiert. Dabei seien auch Hinweise zu möglichen Tätern und verwendeten E-Mail-Adressen wie shinygroup@tuta.com gegeben worden.
Google empfiehlt Schutzmaßnahmen
Zur Abwehr ähnlicher Angriffe rät Google zu folgenden Maßnahmen:
- Einschränkung von API-Berechtigungen nach dem Least-Privilege-Prinzip
- Strenge Kontrolle über die Installation von Drittanbieter-Apps in Salesforce
- Beschränkung von Logins und App-Zugriffen auf vertrauenswürdige IP-Adressen
- Einsatz von Salesforce Shield zur Überwachung verdächtiger Aktivitäten
- Verpflichtende Nutzung von Multi-Faktor-Authentifizierung
Fazit
Die beschriebenen Vorfälle zeigen, wie gezielt Angreifer heute technisches Know-how mit sozialer Manipulation kombinieren. Unternehmen sind gut beraten, ihre Cloud-Umgebungen abzusichern und Mitarbeitende für solche Bedrohungen zu sensibilisieren.
