Gli hacker utilizzano false chiamate di supporto IT per violare i sistemi aziendali e Google

Un gruppo di hacker motivati ​​da interessi economici, noto come UNC6040, sta utilizzando una tattica semplice ma efficace per violare gli ambienti aziendali: prendere il telefono e fingere di essere un addetto al supporto IT, una tecnica chiamata semplicemente phishing vocale (Vishing) .

Secondo un nuovo rapporto del Threat Intelligence Group (GTIG) di Google, questo autore si è spacciato per personale tecnico interno in attacchi di ingegneria sociale via telefono. Il loro obiettivo è indurre i dipendenti, principalmente nelle filiali anglofone di aziende multinazionali, a concedere l'accesso a sistemi sensibili, in particolare Salesforce , una piattaforma di gestione delle relazioni con i clienti (CRM) ampiamente utilizzata.

L'attacco UNC6040 non si basa su exploit o vulnerabilità di sicurezza. Piuttosto, si basa sull'errore umano . Gli aggressori chiamano i dipendenti e li guidano nell'approvazione di un'app connessa all'interno di Salesforce. Ma non si tratta di un'app qualsiasi, spesso si tratta di una versione modificata dello strumento legittimo Data Loader di Salesforce.

Grazie a questo accesso, gli aggressori possono interrogare ed estrarre enormi quantità di dati dall'organizzazione presa di mira. In alcuni casi, mascherano lo strumento come "My Ticket Portal", un nome in linea con il tema del supporto IT della truffa.

Una volta concesso l'accesso, UNC6040 estrae i dati in più fasi. A volte, inizia con un'analisi più approfondita per evitare il rilevamento, utilizzando query di prova e batch di dimensioni limitate. Se l'analisi iniziale passa inosservata, l'operazione viene ampliata e viene avviata l'esfiltrazione di grandi volumi.

È interessante notare che il furto di dati non sempre porta a richieste immediate. In diversi casi, sono passati mesi prima che le vittime ricevessero messaggi di estorsione. In quei messaggi, gli aggressori affermavano di essere associati al noto gruppo di hacker ShinyHunters , una mossa probabilmente mirata ad aumentare la pressione sulle vittime affinché pagassero.

Questo approccio ritardato suggerisce che UNC6040 potrebbe collaborare con altri attori specializzati nella monetizzazione dei dati rubati. Che si tratti di vendere l'accesso o di cedere i dati per attacchi successivi, la lunga pausa rende più complicato il rilevamento e la risposta agli incidenti per i team di sicurezza.

Sebbene l'obiettivo principale sia Salesforce, le ambizioni del gruppo non finiscono qui. Una volta ottenute le credenziali, UNC6040 è stato osservato muoversi lateralmente attraverso i sistemi aziendali, prendendo di mira piattaforme come Okta e Microsoft 365. Questo accesso più ampio consente loro di raccogliere ulteriori dati preziosi, rafforzare la propria presenza e creare una leva per futuri tentativi di estorsione.

GTIG consiglia di adottare alcune misure chiare per ridurre la probabilità di questo tipo di violazioni. Innanzitutto, è importante limitare l'accesso a strumenti potenti come Data Loader: solo gli utenti che ne hanno realmente bisogno dovrebbero disporre delle autorizzazioni, che andrebbero riviste regolarmente. È inoltre importante gestire le app connesse che possono accedere alla configurazione di Salesforce; qualsiasi nuova app dovrebbe essere sottoposta a un processo di approvazione formale.

Per prevenire accessi non autorizzati, in particolare da parte di aggressori che utilizzano VPN, gli accessi e le autorizzazioni delle app dovrebbero essere limitati a intervalli IP attendibili. Il monitoraggio è un altro elemento chiave: piattaforme come Salesforce Shield possono segnalare e reagire in tempo reale alle esportazioni di dati su larga scala. Sebbene l'autenticazione a più fattori ( MFA ) non sia perfetta, svolge comunque un ruolo fondamentale nella protezione degli account, soprattutto quando gli utenti sono addestrati a individuare trucchetti come le chiamate di phishing che cercano di aggirarla.