Le succès de ces campagnes montre que Vishing reste un vecteur de menace majeur, et les organisations doivent hiérarchiser la formation des utilisateurs et des mesures de sécurité robustes pour se protéger contre ces attaques sophistiquées d'ingénierie sociale.
Le succès de ces campagnes montre que Vishing reste un vecteur de menace majeur, et les organisations doivent hiérarchiser la formation des utilisateurs et des mesures de sécurité robustes pour se protéger contre ces attaques sophistiquées d'ingénierie sociale.
Un nouveau rapport de Google's Meners Intelligence Group (GTIG) a révélé une opération de cybercriminalité en évolution et sophistiquée connue sous le nom de «UNC6040». Ce cluster de menace motivé financièrement est spécialisé dans les campagnes de phishing vocal (Vishing), où les attaquants ont usurpé l'identité du personnel de soutien informatique pour inciter les employés à accorder l'accès aux données Salesforce de leur entreprise. Cette méthode s'est révélée particulièrement efficace contre les employés anglophones dans des sociétés multinationales.
Comment fonctionnent les attaques
Les attaques de Vishing impliquent un acteur malveillant qui appelle un employé et les génie socialement pour autoriser une demande frauduleuse dans le portail Salesforce de leur entreprise. Cette application, souvent une version modifiée de l'outil de chargeur de données légitime de Salesforce, donne aux attaquants la possibilité d'accéder, d'interroger et de voler de grands volumes de données sensibles. Dans une récente mise à jour, Google a révélé qu'une attaque similaire en juin a eu un impact sur l'une de ses propres instances Salesforce d'entreprise, conduisant au vol d'informations commerciales de base pour les petites et moyennes entreprises avant la conduite.
Tactiques et extorsion en évolution
Le rapport de Google souligne également que les tactiques du groupe changent. Les attaquants, à l'aide de scripts Python personnalisés au lieu de l'application de chargeur de données, ont passé à l'utilisation de services anonymisés comme Mullvad VPN et Tor pour initier des appels Vishing et des données exfiltrattes, ce qui les rend plus difficiles à suivre.
Après le vol de données, un groupe de menaces connexes, UNC6240, extorque les victimes en exigeant un paiement de Bitcoin dans les 72 heures. Au cours de ces communications, le groupe prétend souvent être le groupe de piratage bien connu Shinyhunters pour augmenter la pression sur les victimes. Google Threat Intelligence estime que ces nouvelles tactiques, y compris le lancement potentiel d'un site de fuite de données, sont probablement prêts à intensifier la pression sur les victimes.
Renforcez vos défenses
Pour contrer ces menaces, Google recommande que les organisations implémentent une approche de sécurité multicouche:
- Appliquer le principe du moindre privilège: Limitez les autorisations utilisateur, en particulier pour les puissants outils d'accès aux données comme le chargeur de données.
- Gérez rigoureusement les applications connectées: Contrôlez quelles applications peuvent interagir avec votre environnement Salesforce et restreindre la capacité d'en installer de nouvelles.
- Appliquer les restrictions basées sur IP: Bloquer les connexions et les autorisations d'applications à partir d'adresses IP inconnues ou de VPN commerciaux.
- Tirez parti de la surveillance de la sécurité: Utilisez des outils dans Salesforce Shield pour surveiller les grands téléchargements de données et autres activités inhabituelles.
- Nécessitent une authentification multi-facteurs (MFA): Assurez-vous que la MFA est universellement appliquée et éduquez les employés sur les tactiques Vishing conçues pour le contourner.
Le succès de ces campagnes montre que Vishing reste un vecteur de menace majeur, et les organisations doivent hiérarchiser la formation des utilisateurs et des mesures de sécurité robustes pour se protéger contre ces attaques sophistiquées d'ingénierie sociale.
