Hackers gebruiken nep-IT-ondersteuningsgesprekken om bedrijfssystemen en Google te hacken

Een groep hackers met financiële motieven, bekend als UNC6040, gebruikt een eenvoudige maar effectieve tactiek om in te breken in bedrijfsomgevingen: ze pakken de telefoon en doen zich voor als IT-medewerker. Dit wordt eenvoudigweg voice phishing (Vishing) genoemd.

Volgens een nieuw rapport van Google's Threat Intelligence Group (GTIG) heeft deze actor zich voorgedaan als interne technische medewerkers bij telefonische social engineering-aanvallen. Hun doel is om medewerkers, voornamelijk in Engelstalige vestigingen van multinationals, te misleiden om toegang te verlenen tot gevoelige systemen, met name Salesforce , een veelgebruikt platform voor customer relationship management (CRM).

UNC6040 vertrouwt niet op exploits of beveiligingslekken. In plaats daarvan rekent het op menselijke fouten . De aanvallers bellen medewerkers en begeleiden hen bij het goedkeuren van een verbonden app in Salesforce. Maar dit is niet zomaar een app, het is vaak een aangepaste versie van Salesforce's legitieme Data Loader-tool.

Met deze toegang kunnen aanvallers enorme hoeveelheden gegevens van de beoogde organisatie opvragen en extraheren. In sommige gevallen vermommen ze de tool als "My Ticket Portal", een naam die aansluit bij het IT-ondersteuningsthema van de oplichting.

Zodra toegang is verleend, haalt UNC6040 de gegevens stapsgewijs op. Soms beginnen ze klein om detectie te voorkomen, met behulp van testquery's en beperkte batchgroottes. Als de initiële detectie onopgemerkt blijft, schalen ze de operatie op en beginnen ze met exfiltratie van grote volumes.

Interessant genoeg leidt datadiefstal niet altijd tot onmiddellijke eisen. In verschillende gevallen duurde het maanden voordat slachtoffers afpersingsberichten ontvingen. In die berichten beweerden de aanvallers banden te hebben met de bekende hackersgroep ShinyHunters , een actie die waarschijnlijk bedoeld was om de druk op slachtoffers om te betalen te vergroten.

Deze vertraagde aanpak suggereert dat UNC6040 mogelijk samenwerkt met andere partijen die gespecialiseerd zijn in het verzilveren van gestolen data. Of ze nu toegang verkopen of de data overdragen voor vervolgaanvallen, de lange wachttijd maakt het detecteren en reageren op incidenten complexer voor beveiligingsteams.

Hoewel Salesforce het primaire doelwit is, houden de ambities van de groep daar niet op. Zodra ze hun rechten hebben verworven, is waargenomen dat UNC6040 zich lateraal door bedrijfssystemen beweegt, met name platforms zoals Okta en Microsoft 365 als doelwit. Deze bredere toegang stelt hen in staat om extra waardevolle gegevens te verzamelen, hun aanwezigheid te versterken en invloed op te bouwen voor toekomstige afpersingspogingen.

GTIG adviseert een paar duidelijke stappen te nemen om de kans op dit soort inbreuken te verkleinen. Beperk ten eerste wie toegang heeft tot krachtige tools zoals Data Loader. Alleen gebruikers die het echt nodig hebben, moeten rechten hebben en deze moeten regelmatig worden gecontroleerd. Het is ook belangrijk om te beheren welke gekoppelde apps toegang hebben tot uw Salesforce-configuratie; elke nieuwe app moet een formeel goedkeuringsproces doorlopen.

Om ongeautoriseerde toegang te voorkomen, met name van aanvallers die VPN's gebruiken, moeten logins en app-autorisaties worden beperkt tot vertrouwde IP-adressen. Monitoring is een ander belangrijk onderdeel: platforms zoals Salesforce Shield kunnen grootschalige data-exporten in realtime signaleren en erop reageren. Hoewel multi-factor authenticatie ( MFA ) niet perfect is, speelt het nog steeds een belangrijke rol bij de bescherming van accounts, vooral wanneer gebruikers getraind zijn om trucs zoals phishing-oproepen te herkennen die de MFA proberen te omzeilen.