News

Salesforce, account sotto attacco vishing: rubati dati sensibili delle aziende

Alcune tecniche di ingegneria sociale e applicazioni manipolate avrebbero contribuito all'attacco agli account di Salesforce in queste ore.

scritto da Felice Galluccio
Salesforce

Il Google Threat Intelligence Group ha identificato un nuovo attacco informatico condotto tramite vishing, una tecnica di phishing telefonico. A essere presi di mira sono stati diversi account aziendali Salesforce, con l’obiettivo di esfiltrare dati sensibili da ambienti cloud e avviare successivamente richieste di estorsione. L’autore degli attacchi è un gruppo chiamato UNC6040, che ha finto di essere affiliato a ShinyHunters, noto collettivo di cybercriminali. Si tratta dunque di un problema molto grave che sta interessando il colosso e soprattutto le aziende che hanno un account.

Come funziona il vishing contro Salesforce

L’attacco si basa su un’articolata strategia di ingegneria sociale. I criminali contattano telefonicamente i dipendenti aziendali spacciandosi per operatori del supporto tecnico, convincendoli a scaricare una versione alterata di Data Loader, lo strumento ufficiale di Salesforce per la gestione massiva di dati. Attraverso l’integrazione OAuth, i truffatori riescono a far inserire un codice di connessione nel pannello di configurazione di Salesforce Connect, consentendo all’app modificata di ottenere accesso completo al sistema.

Una volta dentro, i dati aziendali vengono esfiltrati e il gruppo ottiene le credenziali di altri utenti, muovendosi lateralmente nella rete per accedere anche a piattaforme cloud esterne come Microsoft 365 e Okta.

Strumenti usati, obiettivi e risposta delle aziende

Per evitare il tracciamento, UNC6040 utilizza Mullvad VPN. Alcuni elementi dell’infrastruttura impiegata mostrano somiglianze con quelle usate dal gruppo The Com, lasciando ipotizzare un collegamento diretto o indiretto. Durante le fasi di extortion, i cybercriminali dichiarano l’appartenenza a ShinyHunters, anche se le fonti non confermano ufficialmente l’affiliazione.

Salesforce ha confermato che non sono state sfruttate vulnerabilità del software, ma che l’accesso è avvenuto tramite raggiro umano. L’azienda ha già diffuso una serie di indicazioni per mitigare i rischi, invitando a formare il personale sui pericoli dell’ingegneria sociale, a utilizzare sistemi di autenticazione robusta e a monitorare accessi sospetti alla rete aziendale.

Google News Rimani aggiornato seguendoci su Google News!
Felice Galluccio

Appassionato di tecnologia ed elettronica in generale così come dello sport. Scrivere mi migliora la giornata, questo è il lavoro che amo! Never stop learning!

2012 – 2023 Tecnoandroid.it – Gestito dalla STARGATE SRLS – P.Iva: 15525681001 Testata telematica quotidiana registrata al Tribunale di Roma CON DECRETO N° 225/2015, editore STARGATE SRLS. Tutti i marchi riportati appartengono ai legittimi proprietari.

Questo articolo potrebbe includere collegamenti affiliati: eventuali acquisti o ordini realizzati attraverso questi link contribuiranno a fornire una commissione al nostro sito.

Facebook Twitter Instagram Youtube Rss Envelope