Група хакерів телефонує людям і викрадає дані за допомогою нової кібератаки.
Група хакерів телефонує людям і викрадає дані за допомогою нової кібератаки.
Експерти з команди Google Threat Intelligence Group поділилися інформацією про загрозу і методи захисту від неї у своєму звіті.
Протягом останніх кількох місяців група під назвою UNC6040 неодноразово здійснювала атаки на користувачів. Зловмисники телефонують, видаючи себе за співробітників IT-підтримки, і застосовують методи соціальної інженерії, тобто маніпуляції.
У результаті вони змушують користувачів встановлювати фальшиву версію програми Salesforce. Під час дзвінка злочинець спрямовує жертву на сторінку налаштування пов’язаного додатку Salesforce, щоб дозволити версію застосунку Data Loader з назвою або брендом, які відрізняються від легальної версії.
Salesforce — це хмарна платформа, яка використовується для роботи з клієнтами. Вона допомагає автоматизувати і оптимізувати багато завдань, пов’язаних із продажами, обслуговуванням, маркетингом, аналітикою та взаємодією з клієнтами.
Data Loader — це інструмент, розроблений Salesforce, який призначений для ефективного імпорту, експорту та оновлення великих обсягів даних на платформі Salesforce. Він надає як користувацький інтерфейс, так і компонент командного рядка, причому останній забезпечує широкі можливості налаштування та автоматизації.
Додаток підтримує OAuth і дозволяє здійснювати пряму інтеграцію «застосунків» через функціональність «підключених застосунків» у Salesforce. Зловмисники використовують це, переконуючи жертву телефоном відкрити сторінку налаштування підключення Salesforce і ввести «код підключення», таким чином пов’язуючи контрольований ними Data Loader із середовищем жертви.
Зазвичай шкідлива програма завантажує в систему ПЗ, яке дозволяє хакерам отримати доступ до конфіденційних даних і баз авторизованої Salesforce, після чого вони надсилаються в хмарні сховища. Через певний час, зазвичай кілька місяців, та ж сама або інша група вимагає гроші в обмін на вкрадену інформацію. Злочинці заявляють про свою приналежність до відомої хакерської групи ShinyHunters, ймовірно, як метод посилення тиску на своїх жертв.
За даними Google, жертвами зловмисників стали люди зі США та Європи, які працюють у сферах готельного бізнесу, роздрібної торгівлі та освіти. Примітно, що під час атаки вразливості ПЗ не використовуються, і хакери не можуть зламати користувачів, якщо ті самі їм не допоможуть.
Експерти з кібербезпеки Google радять організаціям розглянути такі заходи для зниження ризику атаки UNC6040:
дотримуватися принципу найменших привілеїв для співробітників;
суворо керувати доступом до підключених додатків;
забезпечити дотримання обмежень доступу на основі IP-адрес;
використовувати розширений моніторинг безпеки та застосування політик за допомогою Salesforce Shield;
всюди впровадити багатофакторну аутентифікацію.
«Не відповідайте на дзвінки з невідомих номерів. Якщо ви відповіли на такий дзвінок, негайно покладіть слухавку», — радить Федеральна комісія зі зв’язку США. Важливо не відповідати на запитання і не повідомляти особисту інформацію.