Accueil » » Attaque visant les clients de Salesforce

Attaque visant les clients de Salesforce

Aucun commentaire
vishing

Le vishing : une menace croissante pour les entreprises

Le vishing, ou hameçonnage vocal, est une méthode de cyberattaque utilisant des appels téléphoniques pour tromper les victimes et obtenir des informations sensibles. Contrairement au phishing par e-mail, il exploite la voix et la confiance humaine. Avec l'émergence de l'intelligence artificielle vocale, les cybercriminels peuvent imiter des voix familières, augmentant l'efficacité de leurs attaques.

Ces menaces sont souvent difficiles à détecter, car elles reposent sur l'ingénierie sociale plutôt que sur des failles techniques.

UNC6040 : un acteur de menace sophistiqué

L’équipe Google Threat Intelligence Group (GTIG) surveille le groupe UNC6040, un acteur malveillant spécialisé dans les attaques de vishing ciblant les organisations via Salesforce. Ces attaques visent souvent les filiales anglophones de grandes entreprises internationales.

UNC6040 se fait passer pour le support informatique lors d'appels frauduleux, convainquant les employés de leur accorder des droits d'accès à des outils dangereux.

Exploitation de Salesforce Data Loader

Le groupe utilise une version modifiée de Salesforce Data Loader pour exfiltrer des données. Une fois que l'utilisateur a approuvé l'application connectée falsifiée, l’attaquant peut accéder à une grande quantité de données clients et commerciales.

Cette approche permet un accès légitime à l’environnement Salesforce, contournant les mesures de sécurité classiques.

Mouvements latéraux et campagnes d’extorsion

Après avoir obtenu un accès initial, UNC6040 poursuit ses attaques en se déplaçant latéralement dans le réseau, en accédant à Okta, Microsoft 365 et d'autres services. Dans plusieurs cas, les données sont exfiltrées et utilisées plusieurs semaines plus tard pour des campagnes d’extorsion.

Le groupe se présente parfois comme affilié à ShinyHunters, un collectif cybercriminel notoire, afin d’augmenter la pression sur leurs cibles.

Recommandations pour se protéger

  • Sensibilisation des employés : Former le personnel à détecter les techniques de vishing et à vérifier l'identité des interlocuteurs.
  • Authentification renforcée : Imposer une vérification en deux étapes pour les accès sensibles.
  • Surveillance des applications connectées : Contrôler et auditer régulièrement les autorisations Salesforce.
  • Détection des mouvements latéraux : Mettre en place une surveillance réseau continue.

Source : Google Cloud Threat Intelligence - “The Cost of a Call”

Partager sur :

Aucun commentaire:

Enregistrer un commentaire

Populaires

Tags