A Google is megerősítette, hogy egy kifinomult social engineering támadás során hackerek hozzáfértek a vállalat Salesforce CRM rendszerében tárolt ügyféladatokhoz. A támadók a hírhedt ShinyHunters/UNC6040 csoporthoz köthetők, akik vishing (voice phishing) technikával szerezték meg a belépési adatokat.
🕵️ Mi történt pontosan?
- A ShinyHunters (UNC6040) csoport célzott támadásokat indított több nemzetközi vállalat ellen.
- Telefonhívásokkal IT-támogatónak adták ki magukat, és így szereztek jelszavakat, vagy telepíttettek rosszindulatú programokat az áldozatokkal.
- Ezután hozzáférést nyertek Salesforce CRM-fiókokhoz, és érzékeny ügyféladatokat exportáltak.
- A Google is elismerte: egy vállalati Salesforce példányát kompromittálták, amely kis- és középvállalkozások adatait tartalmazta (kapcsolattartási információk, megjegyzések stb.).
🟢 A Google szerint az adatok többsége nyilvánosan is elérhető volt, és az incidenst gyorsan sikerült lokalizálni.
🚨 Miért különösen veszélyes ez a kampány?
| Jellemző | Leírás |
|---|---|
| 🎯 Célzott social engineering | Angolul beszélő vállalatok alkalmazottait célozták |
| 📞 Vishing támadás | Telefonos csalás, IT-támogatásnak álcázva |
| 🧪 Adatkinyerés Salesforce-ból | CRM adatok, kapcsolatok, megjegyzések exportálása |
| 💰 Zsarolás | Ransom követelés Bitcoinban, 72 órás határidővel |
| 🧠 Emberi tényező kihasználása | Nem technikai sebezhetőséget használnak, hanem bizalmat |
🐍 Kifinomult módszerek, egyre összetettebb támadások
A GTIG (Google Threat Intelligence Group) szerint a csoport:
- Python alapú saját eszközöket fejlesztett a Salesforce Data Loader funkcióinak másolására
- Mullvad VPN, TOR és egyedi phishing portálok segítségével rejtette el kilétét
- Valódi IT rendszerek arculatát másolta (pl. „My Ticket Portal” álportál)
- Más cégek kompromittált hitelesítő adataival hamis Salesforce appokat regisztrált
📉 Kiket érint még a kampány?
A ShinyHunters az alábbi cégek ellen is indított támadást:
- Adidas
- Allianz Life
- Cisco
- Qantas
- Louis Vuitton
- Tiffany & Co.
- Oracle Cloud
- PowerSchool
- Snowflake
- Mathway
- NitroPDF
- Wattpad
Egyes források szerint a csoport egy “trilliárd dolláros cég” CRM rendszerébe is bejutott – utalásként a Google-ra.
🔐 Nem a Salesforce a sebezhető – az ember az
A támadók nem technikai hibát használnak ki, hanem felhasználókat manipulálnak. A támadások célja nemcsak adatlopás, hanem zsarolás is.
🛡️ Mit tehetünk védekezésként?
A szakértők az alábbi védelmi intézkedéseket javasolják:
- 🔐 Minimalizált jogosultságok (least privilege) bevezetése
- 🛡️ MFA (többlépcsős hitelesítés) kötelezővé tétele
- 🧭 IP-alapú hozzáférés korlátozása
- 🔍 Anomáliafigyelés (pl. Salesforce Shield használata)
- 🎓 Gyakori alkalmazotti oktatás, különösen az IT helpdesk álcázási technikák felismerésére
