Bir grup hacker, çalışanları aldatarak ve bir Salesforce uygulamasının değiştirilmiş bir versiyonunu kurmaya yönlendirerek düzinelerce Avrupa ve Amerikan şirketini hedefleyecekti.
Saldırganların şirket bulut hizmetlerine erişmesine, şirketlere şantaj yapmak için gizli verileri almasına izin verecek aldatma. Google, onu Tehdit İstihbarat Grubu olan BT güvenliği ile ilgilenen kendi bölümü aracılığıyla kınıyor.
Hacker saldırısı nasıl düşünüldü
Bu bilgisayar korsanlarının kendilerini “kurbanlarını aldatmada özellikle etkili” göstereceklerini gösteren Secondomountain, Amerikan Haber Ajansı tarafından bildirilen şirketten bir not okuyor. Sahte çağrılarla veri yükleyicisinin değiştirilmiş bir sürümünü yüklemelerine yol açarlardı.
Araştırmacılara göre bilgisayar korsanları, son aylarda Salesforce tarafından zaten bildirilen bir teknik olan sesli kimlik avı veya “Vishing”) ile şirket çalışanlarıyla temasa geçti. Bu çağrılar sırasında Salesforce teknisyenleri veya BT departmanından meslektaşları olarak geçtiler. Güven verici, profesyonel bir ton kullandılar. Örneğin bir aciliyet gibi davrandılar: “Güvenlik nedeniyle yükleyici tarihini güncellemeliyiz”.
Daha sonra çalışanı belirli bir bağlantıyı ziyaret etmeye davet ettiler (resmi Salesforce One'a çok benzer hileli bir web sayfası). Ancak bu yanlış sayfada, görünüşe göre resmi olanla aynı olan Data Loader'ın değiştirilmiş bir sürümünü indirmek teklif edildi. İndirildikten sonra, bilgisayar korsanları her şeye erişebilir.
Salesforce yükleyici nedir
Veri Yükleyicisi, ihlal edildiğinde, ihlal edilirse potansiyel olarak tüm kurumsal verileri veren bulut bilişim şirketi tarafından piyasaya sürülen güçlü bir araç olan büyük veri hacimlerini içe aktarmanıza, dışa aktarmanıza, güncellemenize, güncellemenize olanak tanıyan şirketler için bir Salesforce aracına sahiptir.
Çalışan uygulamayı yüklüyorsa, bilgisayar korsanları “doğrudan müşterilerin uzlaşmasından doğrudan duyarlı bilgilere erişmek, sorgulamak ve çıkarmak için önemli beceriler alırlar”, araştırmacıları açıklar.
Bu erişim genellikle bilgisayar korsanlarının müşterinin şirket ağı içinde hareket etmesini sağlar ve diğer bulut hizmetlerine ve şirketin dahili ağlarına yönelik saldırıları kolaylaştırır. Reuters'teki bir Google sözcüsüne göre, sadece son haftalarda yapılan bir gözlemden etkilenen en az 20 şirket en az 20 olacaktır. Ancak bütçe daha yüksek olabilir.
Salesforce: Platformumuzun neden olduğu bir sorun değil
Salesforce'tan, “tarif edilen sorunun platformumuzun içsel bir kırılganlığından kaynaklandığına dair hiçbir gösterge olmadığını”, ancak ne ihlal ne de tehlikesinin reddedilmediğini bildiriyorlar. Sözcü, çalışanları aldatmak için kullanılan vokal çağrılarının “kullanıcıların BT güvenliğinin farkındalığındaki boşluklardan yararlanmak için tasarlanmış sosyal mühendislik dolandırıcılıkları olduğunu” da sözlerine ekledi.
Sözcü, etkilenen müşterilerin tam sayısını paylaşmayı reddetti, ancak Salesforce'un “ilgilenen müşterilerin sadece küçük bir kısmının farkında olduğunu” ve “bu yaygın bir sorun olmadığını” söyledi.
Saldırganların şirket bulut hizmetlerine erişmesine, şirketlere şantaj yapmak için gizli verileri almasına izin verecek aldatma. Google, onu Tehdit İstihbarat Grubu olan BT güvenliği ile ilgilenen kendi bölümü aracılığıyla kınıyor.
Hacker saldırısı nasıl düşünüldü
Bu bilgisayar korsanlarının kendilerini “kurbanlarını aldatmada özellikle etkili” göstereceklerini gösteren Secondomountain, Amerikan Haber Ajansı tarafından bildirilen şirketten bir not okuyor. Sahte çağrılarla veri yükleyicisinin değiştirilmiş bir sürümünü yüklemelerine yol açarlardı.
Araştırmacılara göre bilgisayar korsanları, son aylarda Salesforce tarafından zaten bildirilen bir teknik olan sesli kimlik avı veya “Vishing”) ile şirket çalışanlarıyla temasa geçti. Bu çağrılar sırasında Salesforce teknisyenleri veya BT departmanından meslektaşları olarak geçtiler. Güven verici, profesyonel bir ton kullandılar. Örneğin bir aciliyet gibi davrandılar: “Güvenlik nedeniyle yükleyici tarihini güncellemeliyiz”.
Daha sonra çalışanı belirli bir bağlantıyı ziyaret etmeye davet ettiler (resmi Salesforce One'a çok benzer hileli bir web sayfası). Ancak bu yanlış sayfada, görünüşe göre resmi olanla aynı olan Data Loader'ın değiştirilmiş bir sürümünü indirmek teklif edildi. İndirildikten sonra, bilgisayar korsanları her şeye erişebilir.
Salesforce yükleyici nedir
Veri Yükleyicisi, ihlal edildiğinde, ihlal edilirse potansiyel olarak tüm kurumsal verileri veren bulut bilişim şirketi tarafından piyasaya sürülen güçlü bir araç olan büyük veri hacimlerini içe aktarmanıza, dışa aktarmanıza, güncellemenize, güncellemenize olanak tanıyan şirketler için bir Salesforce aracına sahiptir.
Çalışan uygulamayı yüklüyorsa, bilgisayar korsanları “doğrudan müşterilerin uzlaşmasından doğrudan duyarlı bilgilere erişmek, sorgulamak ve çıkarmak için önemli beceriler alırlar”, araştırmacıları açıklar.
Bu erişim genellikle bilgisayar korsanlarının müşterinin şirket ağı içinde hareket etmesini sağlar ve diğer bulut hizmetlerine ve şirketin dahili ağlarına yönelik saldırıları kolaylaştırır. Reuters'teki bir Google sözcüsüne göre, sadece son haftalarda yapılan bir gözlemden etkilenen en az 20 şirket en az 20 olacaktır. Ancak bütçe daha yüksek olabilir.
Salesforce: Platformumuzun neden olduğu bir sorun değil
Salesforce'tan, “tarif edilen sorunun platformumuzun içsel bir kırılganlığından kaynaklandığına dair hiçbir gösterge olmadığını”, ancak ne ihlal ne de tehlikesinin reddedilmediğini bildiriyorlar. Sözcü, çalışanları aldatmak için kullanılan vokal çağrılarının “kullanıcıların BT güvenliğinin farkındalığındaki boşluklardan yararlanmak için tasarlanmış sosyal mühendislik dolandırıcılıkları olduğunu” da sözlerine ekledi.
Sözcü, etkilenen müşterilerin tam sayısını paylaşmayı reddetti, ancak Salesforce'un “ilgilenen müşterilerin sadece küçük bir kısmının farkında olduğunu” ve “bu yaygın bir sorun olmadığını” söyledi.