{"id":3456,"date":"2025-06-05T12:53:24","date_gmt":"2025-06-05T12:53:24","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3456"},"modified":"2025-06-05T12:53:24","modified_gmt":"2025-06-05T12:53:24","slug":"hacker-erbeuten-salesforce-daten-mit-vishing","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3456","title":{"rendered":"Hacker erbeuten Salesforce-Daten mit Vishing"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>Salesforce-User in mehreren Branchen wurden Opfer einer gezielten Vishing-Attacke.<\/p>\n<p class=\"imageCredit\">JHVEPhoto \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Eine neue Welle von Cyberangriffen auf Salesforce-Kunden erfasst aktuell Unternehmen verschiedener Branchen, darunter Gastgewerbe, Einzelhandel und Bildungswesen. Die Google Threat Intelligence Group (<a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/voice-phishing-data-extortion?hl=en\" target=\"_blank\" rel=\"noopener\">GTIG<\/a>) hat die Angreifer, die sich auf Voice-Phishing (<a href=\"https:\/\/www.csoonline.com\/article\/3993294\/diese-social-engineering-trends-sollten-sie-kennen.html\" target=\"_blank\" rel=\"noopener\">Vishing<\/a>) spezialisiert haben, als UNC6040 identifiziert.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Modifizierte Salesforce-Tools als Einfallstor<\/strong><\/h2>\n<p>Berichten zufolge geben sich Vertreter der Gruppe am Telefon als IT-Support-Mitarbeitende aus und \u00fcberreden die Opfer, eine modifizierte Version des <a href=\"https:\/\/developer.salesforce.com\/tools\/data-loader\" target=\"_blank\" rel=\"noopener\">Salesforce Data Loader<\/a> zu installieren. Die manipulierte Version nutzt die OAuth-basierte Funktion \u201eConnected Apps\u201c von Salesforce aus, um sich mit der Salesforce-Umgebung der Opfer zu verbinden. Indem die Opfer einen von den Angreifenden bereitgestellten Verbindungscode auf der Setup-Seite f\u00fcr verbundene Apps eingeben, erhalten die Kriminellen direkten Zugriff auf umfangreiche Datenbest\u00e4nde.<\/p>\n<p>Die modifizierte Data-Loader-App wird dabei h\u00e4ufig mit einem harmlos klingenden Namen wie \u201eMy Ticket Portal\u201c dargestellt. Ziel ist es, den IT-Support-Vorwand glaubw\u00fcrdiger erscheinen zu lassen. Hierbei handelt es sich laut den Experten von Google um eine Form von gezielten Social-Engineering-Angriffen, die auf Nachl\u00e4ssigkeiten bei der Zugriffskontrolle und Schulung der Nutzer abzielen. Die Kriminellen h\u00e4tten keine Schwachstelle von Salesforce ausgenutzt, so <a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/technical-analysis-vishing-threats?hl=en\" target=\"_blank\" rel=\"noopener\">GTIG<\/a>.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Seitliche Bewegungen und Erpressungsversuche<\/strong><\/h2>\n<p>Sobald die Bande erfolgreich in die Salesforce-Instanzen eingedrungen ist, bewegt sie sich seitlich durch die IT-Infrastruktur der Opfer und greift weitere Cloud-Dienste an, darunter<\/p>\n<p>Okta und<\/p>\n<p>Microsoft 365.<\/p>\n<p>Dabei werden auch Phishing-Panels eingesetzt, um weitere Zugangsdaten und Multi-Faktor-Authentifizierungscodes zu erlangen.<\/p>\n<p>Die Experten von GTIG vermuten, dass UNC6040 eine Partnerschaft mit einem zweiten Bedrohungsakteur eingegangen ist, der den Zugang zu den gestohlenen Daten zu Geld macht. \u201eBislang haben wir noch keine F\u00e4lle gesehen, in denen UNC6040 w\u00e4hrend dieser Kampagne Ransomware eingesetzt hat\u201c, so GTIG-Analyst Austin Larsen im Interview mit <a href=\"https:\/\/www.theregister.com\/2025\/06\/04\/fake_it_support_calls_hit\/\" target=\"_blank\" rel=\"noopener\">The Register<\/a>.<\/p>\n<h2 class=\"wp-block-heading\"><strong>\u00c4hnliche Methoden wie andere Hackergruppen<\/strong><\/h2>\n<p>Die gestohlenen Daten werden entweder direkt f\u00fcr Erpressungen genutzt oder an andere kriminelle Gruppen weiterverkauft. Erpressungsversuche treten teilweise erst Monate nach dem initialen Einbruch auf, was laut GTIG auf ein komplexes kriminelles Netzwerk hindeutet. UNC6040 behauptet von sich selbst, dass sie Kontakte zur Gruppe <a href=\"https:\/\/www.csoonline.com\/article\/3621101\/aws-customers-face-massive-breach-amid-alleged-shinyhunters-regroup.html\" target=\"_blank\" rel=\"noopener\">ShinyHunters<\/a> h\u00e4tten.<\/p>\n<p>Unabh\u00e4ngig von m\u00f6glichen Partnerschaften setzt UNC6040 Taktiken und Techniken ein, die \u00c4hnlichkeiten mit anderen bekannten Gruppen aufweisen wie<\/p>\n<p><a href=\"https:\/\/www.csoonline.com\/article\/3995842\/wer-landet-im-netz-der-cyber-spinne.html\" target=\"_blank\" rel=\"noopener\">Scattered Spider<\/a>s hybride <a href=\"https:\/\/www.csoonline.com\/article\/3481659\/north-korean-group-infiltrated-100-plus-companies-with-imposter-it-pros.html?utm=hybrid_search#:~:text=Scattered%20Spider%20also%20caught%20skipping%20across%20domains\" target=\"_blank\" rel=\"noopener\">Vishing-Attacke<\/a>n im Jahr 2024,<\/p>\n<p>der <a href=\"https:\/\/thehackernews.com\/2023\/07\/vishing-goes-high-tech-new-letscall.html\" target=\"_blank\" rel=\"noopener\">Letscall<\/a>-Malware-Kampagne in S\u00fcdkorea und<\/p>\n<p>dem lose organisierten Kollektiv \u201eThe Com\u201c.<\/p>\n<p>Dennoch handele es sich laut GTIG um eine eigenst\u00e4ndige Gruppe, die sich durch ihre spezifischen Vorgehensweisen unterscheide.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Empfehlungen und Schutzma\u00dfnahmen<\/strong><\/h2>\n<p>Sowohl die Sicherheitsexperten als auch <a href=\"https:\/\/www.salesforce.com\/blog\/protect-against-social-engineering\/\" target=\"_blank\" rel=\"noopener\">Salesforce<\/a> empfehlen eine Reihe von Ma\u00dfnahmen, um sich gegen diese Art von Angriffen zu sch\u00fctzen. Dazu geh\u00f6ren:<\/p>\n<p>Strikte Einhaltung des Prinzips der geringsten Privilegien bei Zugriffsrechten;<\/p>\n<p>\u00dcberwachung und Kontrolle von verbundenen Apps in Salesforce;<\/p>\n<p>Einsatz von IP-basierten Zugriffsbeschr\u00e4nkungen;<\/p>\n<p>Verpflichtende Multi-Faktor-Authentifizierung (MFA);<\/p>\n<p>Schulungen der Mitarbeiter im Umgang mit Social-Engineering-Angriffen, insbesondere Vishing.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Salesforce-User in mehreren Branchen wurden Opfer einer gezielten Vishing-Attacke. JHVEPhoto \u2013 shutterstock.com Eine neue Welle von Cyberangriffen auf Salesforce-Kunden erfasst aktuell Unternehmen verschiedener Branchen, darunter Gastgewerbe, Einzelhandel und Bildungswesen. Die Google Threat Intelligence Group (GTIG) hat die Angreifer, die sich auf Voice-Phishing (Vishing) spezialisiert haben, als UNC6040 identifiziert. Modifizierte Salesforce-Tools als Einfallstor Berichten zufolge geben [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":3457,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3456","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3456"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3456"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3456\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3457"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3456"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3456"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3456"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}