Hacker nutzen gefälschte IT-Supportanrufe, um in Unternehmenssysteme einzudringen, Google

Eine finanziell motivierte Hackergruppe namens UNC6040 verwendet eine einfache, aber effektive Taktik, um in Unternehmensumgebungen einzudringen: Sie greifen zum Telefon und geben sich als IT-Support aus. Dieses sogenannte Voice-Phishing (Vishing) wird einfach genannt.

Laut einem neuen Bericht der Threat Intelligence Group (GTIG) von Google gibt sich dieser Akteur bei telefonischen Social-Engineering-Angriffen als internes technisches Personal aus. Ziel ist es, Mitarbeiter – vor allem in englischsprachigen Niederlassungen multinationaler Unternehmen – dazu zu bringen, ihnen Zugriff auf sensible Systeme zu gewähren, insbesondere auf Salesforce , eine weit verbreitete Customer-Relationship-Management-Plattform (CRM).

UNC6040 nutzt keine Exploits oder Sicherheitslücken. Stattdessen setzt es auf menschliches Versagen . Die Angreifer rufen Mitarbeiter an und führen sie durch die Genehmigung einer verknüpften App in Salesforce. Dabei handelt es sich jedoch nicht um irgendeine App, sondern oft um eine modifizierte Version des legitimen Data Loader-Tools von Salesforce.

Mit diesem Zugriff können Angreifer große Datenmengen der angegriffenen Organisation abfragen und extrahieren. In einigen Fällen tarnen sie das Tool als „My Ticket Portal“, ein Name, der auf das IT-Support-Thema des Betrugs abgestimmt ist.

Sobald der Zugriff gewährt ist, ruft UNC6040 die Daten schrittweise ab. Manchmal beginnt UNC6040 mit kleinen Datenmengen, um eine Erkennung zu vermeiden, und verwendet Testabfragen und begrenzte Batchgrößen. Bleibt die anfängliche Überprüfung unbemerkt, wird der Vorgang ausgeweitet und mit der Exfiltration großer Datenmengen begonnen.

Interessanterweise führt Datendiebstahl nicht immer zu sofortigen Forderungen. In mehreren Fällen vergingen Monate, bevor die Opfer Erpressernachrichten erhielten. Darin gaben die Angreifer an, mit der bekannten Hackergruppe ShinyHunters in Verbindung zu stehen. Damit wollten sie vermutlich den Druck auf die Opfer erhöhen, die Zahlung zu leisten.

Dieses verzögerte Vorgehen deutet darauf hin, dass UNC6040 möglicherweise mit anderen Akteuren zusammenarbeitet, die sich auf die Monetarisierung gestohlener Daten spezialisiert haben. Unabhängig davon, ob sie den Zugriff verkaufen oder die Daten für Folgeangriffe freigeben, erschwert die lange Verzögerung die Erkennung und Reaktion von Vorfällen für Sicherheitsteams.

Das Hauptziel ist zwar Salesforce, doch die Ambitionen der Gruppe enden damit nicht. Sobald UNC6040 Zugangsdaten erlangt hat, wurde beobachtet, wie sie sich lateral durch Unternehmenssysteme bewegte und Plattformen wie Okta und Microsoft 365 ins Visier nahm. Dieser erweiterte Zugriff ermöglicht es ihnen, zusätzliche wertvolle Daten zu sammeln, ihre Präsenz zu vertiefen und sich einen Vorteil für zukünftige Erpressungsversuche zu verschaffen.

GTIG empfiehlt, einige klare Maßnahmen zu ergreifen, um solche Sicherheitsverletzungen zu minimieren. Beschränken Sie zunächst den Zugriff auf leistungsstarke Tools wie Data Loader. Nur Benutzer, die diese wirklich benötigen, sollten über Berechtigungen verfügen, und diese sollten regelmäßig überprüft werden. Es ist außerdem wichtig zu verwalten, welche verbundenen Apps auf Ihr Salesforce-Setup zugreifen können. Jede neue App sollte einen formellen Genehmigungsprozess durchlaufen.

Um unbefugten Zugriff, insbesondere durch Angreifer über VPNs, zu verhindern, sollten Anmeldungen und App-Autorisierungen auf vertrauenswürdige IP-Bereiche beschränkt werden. Überwachung ist ein weiterer wichtiger Aspekt. Plattformen wie Salesforce Shield können umfangreiche Datenexporte in Echtzeit erkennen und darauf reagieren. Obwohl die Multi-Faktor-Authentifizierung ( MFA ) nicht perfekt ist, spielt sie dennoch eine wichtige Rolle beim Schutz von Konten, insbesondere wenn Benutzer darauf geschult sind, Tricks wie Phishing-Anrufe zu erkennen, die versuchen, sie zu umgehen.