Google предупредила владельцев смартфонов об опасной угрозе

Google предупредила владельцев смартфонов об опасной угрозе

Эксперты из команды Google Threat Intelligence Group поделились информацией об угрозе и методах защиты от нее в своем отчете.

В течение последних нескольких месяцев группа под названием UNC6040 неоднократно совершала атаки на пользователей. Злоумышленники звонят, выдавая себя за сотрудников IT-поддержки, и применяют методы социальной инженерии, то есть манипуляции.

В результате они заставляют пользователей устанавливать фальшивую версию программы Salesforce. Во время звонка преступник направляет жертву на страницу настройки связанного приложения Salesforce, чтобы разрешить версию приложения Data Loader с названием или брендом, которые отличаются от легальной версии.

Salesforce — это облачная платформа, которая используется для работы с клиентами. Она помогает автоматизировать и оптимизировать многие задачи, связанные с продажами, обслуживанием, маркетингом, аналитикой и взаимодействием с клиентами.

Data Loader — это инструмент, разработанный Salesforce, который предназначен для эффективного импорта, экспорта и обновления больших объемов данных на платформе Salesforce. Он предоставляет как пользовательский интерфейс, так и компонент командной строки, при этом последний обеспечивает широкие возможности настройки и автоматизации.

Приложение поддерживает OAuth и позволяет осуществлять прямую интеграцию "приложений" через функциональность "подключенных приложений" в Salesforce. Злоумышленники используют это, убеждая жертву по телефону открыть страницу настройки подключения Salesforce и ввести "код подключения", таким образом связывая контролируемый ими Data Loader с окружением жертвы.

Обычно вредоносная программа загружает в систему ПО, которое позволяет хакерам получить доступ к конфиденциальным данным и базам авторизованного Salesforce, после чего они отправляются в облачные хранилища. Через некоторое время, обычно несколько месяцев, та же самая или другая группа требует деньги в обмен на украденную информацию. Преступники заявляют о своей принадлежности к известной хакерской группе ShinyHunters, вероятно, как метод усиления давления на своих жертв.

По данным Google, жертвами злоумышленников стали люди из США и Европы, работающие в сферах гостиничного бизнеса, розничной торговли и образования. Примечательно, что во время атаки уязвимости ПО не используются, и хакеры не могут взломать пользователей, если те сами им не помогут.

Эксперты по кибербезопасности Google советуют организациям рассмотреть следующие меры для снижения риска атаки UNC6040:

• соблюдать принцип наименьших привилегий для сотрудников;
• строго управлять доступом к подключенным приложениям;
• обеспечить соблюдение ограничений доступа на основе IP-адресов;
• использовать расширенный мониторинг безопасности и применение политик с помощью Salesforce Shield;
• повсеместно внедрить многофакторную аутентификацию.

"Не отвечайте на звонки с неизвестных номеров. Если вы ответили на такой звонок, немедленно положите трубку", — советует Федеральная комиссия по связи США. Важно не отвечать на вопросы и не сообщать личную информацию.