Votre entreprise utilise-t-elle Salesforce ? Si c’est le cas, vous devez vous méfier d’une nouvelle attaque de phishing dans laquelle des pirates tentent de voler vos données Salesforce.
Dans un article de blog publié mercredi, le Threat Intelligence Group de Google explique comment les pirates utilisent le vishing, ou hameçonnage vocal, pour inciter les employés à autoriser l’accès aux enregistrements Salesforce. L’objectif est de voler de grandes quantités de données confidentielles pour tenter d’extorquer les victimes. Voici comment cela fonctionne.
Les cybercriminels à l’origine de la campagne se font passer pour du personnel de support informatique. Ils appellent un employé peu méfiant de l’entreprise ciblée. Au cours de cet appel, l’employé est invité à se rendre sur une prétendue page d’installation de Salesforce, où il lui est demandé de télécharger et d’installer une application appelée Salesforce Data Loader.
Un faux Data Loader
L’application Data Loader existe vraiment. Elle permet d’importer, d’exporter ou de modifier des enregistrements Salesforce en se connectant à la base de données interne. Mais la version présentée sur la page Web est une version modifiée, malveillante et contrôlée par les pirates.
Une fois l’application installée et connectée, les pirates peuvent accéder aux enregistrements Salesforce sensibles, les interroger et les exporter à leurs propres fins. L’exfiltration des données se produit généralement immédiatement après que le groupe a obtenu l’accès.
Dans certains cas, les criminels demandent à l’employé des identifiants et des codes d’authentification multifactorielle qui leur permettent d’exporter les données de Salesforce. Les attaquants utilisent des adresses IP Mullvad VPN pour accéder aux environnements Salesforce.
UNC6040 ne travaille peut-être pas seul
Ils se connectent également à l’aide de noms d’utilisateur et de mots de passe capturés par le biais de la collecte d’informations d’identification ou de l’hameçonnage. Armés de ces identifiants, ils peuvent se déplacer latéralement dans un réseau où ils capturent des données provenant d’autres plateformes basées sur le cloud, y compris Microsoft 365 et Okta.
Google a identifié le groupe à l’origine de l’attaque comme étant UNC6040, spécialisé dans l’hameçonnage vocal. Mais UNC6040 ne travaille peut-être pas seul.
L’extorsion proprement dite ne se produit souvent que plusieurs mois après l’attaque initiale. Cela pourrait indiquer l’existence d’un second groupe cybercriminel dont le rôle est de monnayer l’accès aux données, selon Google. UNC6040 a même affirmé travailler avec le groupe de pirates ShinyHunters pour pousser ses victimes à payer.
Pas de vulnérabilités dans Salesforce
Par ailleurs, les chercheurs de Google Threat Intelligence ont découvert d’autres attaques similaires à celles organisées par UNC6040. Elles partagent toutes certaines tactiques, techniques et procédures (TTP), telles que l’usurpation de l’identité de l’assistance informatique dans le cadre d’une escroquerie par vishing, le ciblage des informations d’identification Okta et la focalisation sur les utilisateurs anglophones de sociétés multinationales.
Google a qualifié ce collectif de « The Com » et a reconnu que ces similitudes pourraient simplement signifier que les attaquants opèrent au sein d’une même communauté plutôt que d’unir directement leurs forces.
Il est également important de noter que les attaques ne découlent pas de vulnérabilités dans Salesforce ou dans d’autres services basés sur le cloud. Les criminels tirent plutôt parti d’une tactique d’ingénierie sociale. Dans ce cas, les employés accèdent volontairement aux demandes d’un interlocuteur inconnu qui se fait passer pour une entité officielle ou de confiance. Malgré tous les avertissements et la formation des employés sur le phishing et le vishing, les escrocs savent qu’ils peuvent toujours trouver quelqu’un qui mordra à l’hameçon.
Des conseils pour protéger vos données contre ce type d’escroquerie
« Salesforce dispose d’une sécurité de niveau entreprise intégrée dans chaque partie de notre plateforme, et rien n’indique que le problème décrit découle d’une vulnérabilité inhérente à nos services », a déclaré un porte-parole de Salesforce à ZDNET. « Les attaques telles que l’hameçonnage vocal sont des escroqueries ciblées d’ingénierie sociale conçues pour exploiter les lacunes des utilisateurs individuels en matière de sensibilisation à la cybersécurité et de meilleures pratiques ».
Google et Salesforce proposent tous deux des conseils pour protéger vos données contre ce type d’escroquerie. Il s’agit notamment :
- D’accorder aux utilisateurs uniquement les autorisations essentielles à leur rôle
- De gérer l’accès aux applications connectées
- D’appliquer l’authentification multifactorielle
- De mettre en place une gamme limitée d’adresses IP de confiance pour les connexions
- D’examiner les outils de sécurité disponibles via le Bouclier Salesforce
- D’ajouter un contact de sécurité spécifique au sein de votre organisation