Des pirates informatiques utilisent de faux appels au support informatique pour pirater les systèmes d'entreprise et Google

Un groupe de pirates informatiques motivé par des raisons financières, connu sous le nom d'UNC6040, utilise une tactique simple mais efficace pour pénétrer dans les environnements d'entreprise : décrocher le téléphone et se faire passer pour un support informatique, simplement appelé phishing vocal (Vishing) .

Selon un nouveau rapport du Threat Intelligence Group (GTIG) de Google, cet acteur se fait passer pour des techniciens internes lors d'attaques d'ingénierie sociale par téléphone. Son objectif est de piéger les employés, principalement des filiales anglophones de multinationales, afin qu'ils leur accordent l'accès à des systèmes sensibles, notamment Salesforce , une plateforme de gestion de la relation client (CRM) largement utilisée.

L'UNC6040 ne s'appuie pas sur des exploits ni sur des failles de sécurité. Il mise plutôt sur l'erreur humaine . Les attaquants appellent les employés et les guident dans l'approbation d'une application connectée dans Salesforce. Mais il ne s'agit pas de n'importe quelle application : il s'agit souvent d'une version modifiée de l'outil légitime Data Loader de Salesforce.

Grâce à cet accès, les attaquants peuvent interroger et extraire de vastes quantités de données de l'organisation ciblée. Dans certains cas, ils déguisent l'outil en « Mon portail de tickets », un nom en phase avec le thème du support informatique de l'arnaque.

Une fois l'accès accordé, l'UNC6040 extrait les données par étapes. Parfois, l'opération commence à petite échelle pour éviter toute détection, en utilisant des requêtes de test et des tailles de lots limitées. Si l'analyse initiale passe inaperçue, l'opération s'intensifie et commence l'exfiltration à grande échelle.

Il est intéressant de noter que le vol de données n'entraîne pas toujours des demandes immédiates. Dans plusieurs cas, des mois se sont écoulés avant que les victimes ne reçoivent des messages d'extorsion. Dans ces messages, les attaquants prétendaient être associés au célèbre groupe de pirates informatiques ShinyHunters , une manœuvre probablement destinée à accroître la pression sur les victimes pour qu'elles paient.

Cette approche différée suggère que l'UNC6040 pourrait collaborer avec d'autres acteurs spécialisés dans la monétisation des données volées. Qu'ils vendent l'accès ou transmettent les données pour des attaques ultérieures, cette longue pause complique la détection et la réponse aux incidents pour les équipes de sécurité.

Si la cible principale est Salesforce, les ambitions du groupe ne s'arrêtent pas là. Une fois les qualifications obtenues, les membres de la formation UNC6040 ont été observés se propager latéralement dans les systèmes d'entreprise, ciblant des plateformes comme Okta et Microsoft 365. Cet accès plus large leur permet de collecter des données supplémentaires précieuses, de renforcer leur présence et de renforcer leur influence en vue de futures tentatives d'extorsion.

GTIG recommande de prendre quelques mesures claires pour réduire ce type de failles. Premièrement, limitez l'accès à des outils puissants comme Data Loader ; seuls les utilisateurs qui en ont réellement besoin devraient disposer d'autorisations, et celles-ci devraient être revues régulièrement. Il est également important de gérer les applications connectées pouvant accéder à votre configuration Salesforce ; toute nouvelle application doit être soumise à un processus d'approbation formel.

Pour empêcher tout accès non autorisé, notamment celui des attaquants utilisant des VPN, les connexions et les autorisations d'accès aux applications doivent être limitées à des plages d'adresses IP fiables. La surveillance est un autre élément clé : des plateformes comme Salesforce Shield peuvent signaler et réagir aux exportations de données à grande échelle en temps réel. Bien que l'authentification multifacteur ( MFA ) ne soit pas parfaite, elle joue un rôle majeur dans la protection des comptes, notamment lorsque les utilisateurs sont formés à repérer les astuces comme les appels de phishing qui tentent de la contourner.