Vishing-Angriffe zielen auf Salesforce-User
Die Google Threat Intelligence Group warnt vor gezieltem Voice-Phishing gegen Unternehmen, die Salesforce-Anwendungen nutzen. Die Angreifer nutzen Social Engineering, um manipulierte Tools in unternehmensinterne Systeme einzuschleusen und sich so Zugang zu sensiblen Daten zu verschaffen.
Gemäss der Google Threat Intelligence Group (GTIG) nimmt derzeit ein Bedrohungsakteur mit der Bezeichnung UNC6040 Unternehmen ins Visier, die Cloud-Dienste von Salesforce einsetzen. Über Voice-Phishing oder Vishing - oft getarnt als vermeintlicher IT-Support - versuchen Angreifer, Mitarbeitende via Social Engineering zu Handlungen zu verleiten, die ihnen Zugriff auf Anmeldeinformationen oder autorisierte Zugänge verschaffen. Besonders betroffen sind laut einer Mitteilung von GTIG englischsprachige Niederlassungen multinationaler Konzerne.
Social Engineering als primäre Vorgehensweise
Wie es weiter heisst, instruieren die Angreifer ihre Opfer häufig, eine manipulierte, nicht offizielle Version des Tools Data Loader über die Salesforce-Plattform zu autorisieren. So gewinnen die Angreifer weitreichenden Zugriff auf grosse Mengen sensibler Daten. Die Infrastruktur der Angreifer umfasse dabei auch Okta-Phishing-Panels und Mullvad-VPN-Adressen, um ihre Herkunft zu verschleiern. Zudem könnten Angreifer über bereits kompromittierte Anmeldeinformationen zu weiteren Cloud-Systemen wie Okta oder Microsoft 365 gelangen und dort zusätzliche Informationen abrufen.
Ein Kernelement der Methodik von UNC6040 ist demnach die Ausnutzung vertrauenswürdiger Rollen wie des IT-Supports, um bestehende Sicherheitsmechanismen zu umgehen. Laut GTIG ähnelt die Vorgehensweise der Angreifer jener anderer Gruppen aus dem Umfeld des als "The Com" bezeichneten Hackerkollektivs.
Bei Zugriffsrechten ist Vorsicht geboten
GTIG rät betroffenen Unternehmen, bei der Vergabe von Zugangsrechten vorsichtig zu sein; vor allem bei Tools, die wie Data Loader umfangreiche Zugriffe ermöglichen. Des Weiteren sollten Unternehmen IP-basierte Zugriffsbeschränkungen etablieren, um Angriffe von ausserhalb des Unternehmensnetzwerks effektiv zu erkennen und zu blockieren. Die Überwachung von Massendatenexporten und API-Nutzung, Multi-Faktor-Authentifizierungen sowie regelmässige Schulungen von Mitarbeitenden könnten zudem dabei helfen, Angriffsversuche frühzeitig zu erkennen.
Im Jahr 2024 registrierte das Bundesamt für Cybersicherheit (BACS) in der Schweiz eine Verdreifachung von Vishing-Fällen durch vermeintliche Behörden - mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Microsoft lanciert Cybersecurity-Initiative für EU-Regierungen
Wie der Datenschutz von morgen aussehen könnte
Cybersecurity bremst die Einführung von KI-Agenten
Best of Swiss Software geht in die zweite Runde
Microsoft-Software ist wegen Trump ein Sicherheitsrisiko – so reagiert Dänemark
Werner Herzog sinniert über Hühner
Viele Unternehmen können auf Cyberangriffe nicht richtig reagieren
Hochkarätige Cybersecurity-Trainings im ATC von BOLL
Cookie-Diebstahl nimmt rasant zu - auch in der Schweiz
