Thought Leadership
Eine neue Welle gezielter Voice-Phishing-Angriffe (Vishing) bedroht Unternehmen weltweit. Kriminelle locken Mitarbeiter dazu, manipulierte Salesforce-Apps zu installieren – mit gravierenden Folgen für Datenschutz und Sicherheit.
Hackergruppe UNC6040 setzt auf menschliche Schwächen
Die Google Threat Intelligence Group (GTIG) hat aufgedeckt, dass die international agierende Hackergruppe UNC6040 gezielte Vishing-Kampagnen gegen Unternehmen fährt – mit einem besonderen Fokus auf Salesforce-Umgebungen. Durch geschickte Manipulation am Telefon verleiten sie Mitarbeitende dazu, manipulierte Software zu installieren, die Zugriff auf sensible Daten gewährt.
Kein technisches Leck bei Salesforce
Wichtig: Die Angriffe basieren nicht auf einer Sicherheitslücke in Salesforce selbst. Vielmehr setzen die Kriminellen auf Social Engineering – also gezielte Täuschung von Mitarbeitenden. Besonders perfide: Häufig tarnen sich die Angreifer als IT-Support und überreden ihr Ziel, modifizierte Tools wie gefälschte Versionen des Salesforce Data Loaders zu verwenden.
Zugang zu Daten – und mehr
Sobald die manipulierten Anwendungen installiert sind, können die Angreifer nicht nur Salesforce-Daten auslesen, sondern sich auch weiter im Unternehmensnetzwerk ausbreiten. Die GTIG warnt davor, dass über die kompromittierten Tools auch andere Cloud-Dienste und interne Systeme in Mitleidenschaft gezogen werden könnten.
Unternehmen weltweit betroffen
Bisher sind rund 20 Organisationen in Europa sowie Nord- und Südamerika identifiziert worden, die Opfer dieser Methode wurden. Besonders im Visier stehen Firmen aus dem Gastgewerbe, Einzelhandel und Bildungssektor.
Doppelte Bedrohung: Spionage und Erpressung
GTIG-Analysen deuten darauf hin, dass UNC6040 die erbeuteten Daten nicht immer sofort nutzt. In manchen Fällen erfolgte eine Erpressung der Opfer erst Monate nach dem eigentlichen Vorfall – möglicherweise in Zusammenarbeit mit weiteren Cybercrime-Gruppen.
Verbindungen zur Untergrundszene
Die Infrastruktur und Taktiken von UNC6040 überschneiden sich laut GTIG mit der kriminellen Gruppierung „The Com“, zu der auch bekannte Akteure wie UNC3944 („Scattered Spider“) zählen. Neben Voice-Phishing setzt die Gruppe auf gefälschte Okta-Loginseiten, fordert MFA-Codes in Echtzeit an und verschleiert ihre Spuren mit VPN-Diensten wie Mullvad.
Fazit
Salesforce selbst ist nicht unsicher, aber das Verhalten der Nutzer bleibt ein kritischer Angriffsvektor. Unternehmen sollten ihre Mitarbeitenden verstärkt für Social-Engineering-Gefahren sensibilisieren und keine nicht autorisierten Anwendungen mit Salesforce verbinden.
(vp/Google Cloud)
