Звонок от «поддержки»: жертвы устанавливают поддельное приложение Salesforce по указке хакеров

Эксперты из команды Google Threat Intelligence Group рассказали об угрозе и способах защиты от нее в своем отчете.

За последние несколько месяцев кластер, которому присвоили название UNC6040, неоднократно взламывал пользователей. Злоумышленники звонят по телефону, представляются сотрудниками IT-поддержки и используют методы социальной инженерии, а проще говоря — манипуляции.

В итоге они заставляют пользователей устанавливать подделанную версию приложения Salesforce. Во время звонка преступник направляет жертву на страницу настройки связанного приложения Salesforce, чтобы одобрить версию приложения Data Loader с именем или брендом, которые отличаются от легальной версии.

Salesforce — облачная платформа, которая используется для работы с клиентами. Она помогает автоматизировать и упростить многие задачи, связанные с продажами, обслуживанием, маркетингом, аналитикой и связями с клиентами.

Data Loader — это приложение, разработанное Salesforce, предназначенное для эффективного импорта, экспорта и обновления больших объемов данных на платформе Salesforce. Оно предлагает как пользовательский интерфейс, так и компонент командной строки, причем последний обеспечивает обширные возможности настройки и автоматизации.

Приложение поддерживает OAuth и позволяет осуществлять прямую интеграцию "приложений" через функциональность "подключенных приложений" в Salesforce. Злоумышленники злоупотребляют этим, убеждая жертву по телефону открыть страницу настройки подключения Salesforce и ввести "код подключения", тем самым связывая контролируемый злоумышленником Data Loader со средой жертвы.

Как правило, вирусная программа загружает в систему ПО, которое позволяет хакерам получить доступ к конфиденциальным данным и базам авторизованной Salesforce, затем отправляет их в облачные хранилища. Спустя некоторое время, обычно несколько месяцев, та же или другая группа вымогает деньги в обмен на украденную информацию. Преступники заявляют о своей принадлежности к известной хакерской группе ShinyHunters, вероятно, в качестве метода усиления давления на своих жертв.

По информации Google, жертвами злоумышленников стали люди из США и Европы, работающие в сфере гостичничного бизнеса, розничной торговли и образования. Примечательно, что во время атаки уязвимости ПО не используются, и хакеры не могут взломать пользователей, если последние сами им не помогут.

Эксперты по кибербезопасности Google рекомендует организациям рассмотреть следующие шаги для снижения риска атаки UNC6040:

придерживаться принципа наименьших привилегий для сотрудников;строго управлять доступом к подключенным приложениям;обеспечить соблюдение ограничений доступа на основе IP-адресов;использовать расширенный мониторинг безопасности и применение политик с помощью Salesforce Shield;всюду внедрить многофакторную аутентификацию.

"Не отвечайте на звонки с неизвестных номеров. Если вы ответили на такой звонок, немедленно повесьте трубку", — советует Федеральная комиссия по связи США. Важно не отвечать на вопросы и не сообщать личную информацию.