Группа хакеров звонит людям и похищает данные с помощью новой кибератаки.
Эксперты из команды Google Threat Intelligence Group поделились информацией об угрозе и методах защиты от нее в своем отчете.
В течение последних нескольких месяцев группа под названием UNC6040 неоднократно совершала атаки на пользователей. Злоумышленники звонят, выдавая себя за сотрудников IT-поддержки, и применяют методы социальной инженерии, то есть манипуляции.
В результате они заставляют пользователей устанавливать фальшивую версию программы Salesforce. Во время звонка преступник направляет жертву на страницу настройки связанного приложения Salesforce, чтобы разрешить версию приложения Data Loader с названием или брендом, которые отличаются от легальной версии.
Salesforce — это облачная платформа, которая используется для работы с клиентами. Она помогает автоматизировать и оптимизировать многие задачи, связанные с продажами, обслуживанием, маркетингом, аналитикой и взаимодействием с клиентами.
Data Loader — это инструмент, разработанный Salesforce, который предназначен для эффективного импорта, экспорта и обновления больших объемов данных на платформе Salesforce. Он предоставляет как пользовательский интерфейс, так и компонент командной строки, при этом последний обеспечивает широкие возможности настройки и автоматизации.
Приложение поддерживает OAuth и позволяет осуществлять прямую интеграцию "приложений" через функциональность "подключенных приложений" в Salesforce. Злоумышленники используют это, убеждая жертву по телефону открыть страницу настройки подключения Salesforce и ввести "код подключения", таким образом связывая контролируемый ими Data Loader с окружением жертвы.
Обычно вредоносная программа загружает в систему ПО, которое позволяет хакерам получить доступ к конфиденциальным данным и базам авторизованного Salesforce, после чего они отправляются в облачные хранилища. Через некоторое время, обычно несколько месяцев, та же самая или другая группа требует деньги в обмен на украденную информацию. Преступники заявляют о своей принадлежности к известной хакерской группе ShinyHunters, вероятно, как метод усиления давления на своих жертв.
По данным Google, жертвами злоумышленников стали люди из США и Европы, работающие в сферах гостиничного бизнеса, розничной торговли и образования. Примечательно, что во время атаки уязвимости ПО не используются, и хакеры не могут взломать пользователей, если те сами им не помогут.
Эксперты по кибербезопасности Google советуют организациям рассмотреть следующие меры для снижения риска атаки UNC6040:
соблюдать принцип наименьших привилегий для сотрудников; строго управлять доступом к подключенным приложениям; обеспечить соблюдение ограничений доступа на основе IP-адресов; использовать расширенный мониторинг безопасности и применение политик с помощью Salesforce Shield; повсеместно внедрить многофакторную аутентификацию."Не отвечайте на звонки с неизвестных номеров. Если вы ответили на такой звонок, немедленно положите трубку", — советует Федеральная комиссия по связи США. Важно не отвечать на вопросы и не сообщать личную информацию.