Salesforce-Consumer in mehreren Branchen wurden Opfer einer gezielten Vishing-Attacke.
JHVEPhoto – shutterstock.com
Eine neue Welle von Cyberangriffen auf Salesforce-Kunden erfasst aktuell Unternehmen verschiedener Branchen, darunter Gastgewerbe, Einzelhandel und Bildungswesen. Die Google Risk Intelligence Group (GTIG) hat die Angreifer, die sich auf Voice-Phishing (Vishing) spezialisiert haben, als UNC6040 identifiziert.
Modifizierte Salesforce-Instruments als Einfallstor
Berichten zufolge geben sich Vertreter der Gruppe am Telefon als IT-Assist-Mitarbeitende aus und überreden die Opfer, eine modifizierte Model des Salesforce Knowledge Loader zu installieren. Die manipulierte Model nutzt die OAuth-basierte Funktion „Related Apps“ von Salesforce aus, um sich mit der Salesforce-Umgebung der Opfer zu verbinden. Indem die Opfer einen von den Angreifenden bereitgestellten Verbindungscode auf der Setup-Seite für verbundene Apps eingeben, erhalten die Kriminellen direkten Zugriff auf umfangreiche Datenbestände.
Die modifizierte Knowledge-Loader-App wird dabei häufig mit einem harmlos klingenden Namen wie „My Ticket Portal“ dargestellt. Ziel ist es, den IT-Assist-Vorwand glaubwürdiger erscheinen zu lassen. Hierbei handelt es sich laut den Experten von Google um eine Type von gezielten Social-Engineering-Angriffen, die auf Nachlässigkeiten bei der Zugriffskontrolle und Schulung der Nutzer abzielen. Die Kriminellen hätten keine Schwachstelle von Salesforce ausgenutzt, so GTIG.
