Нападите се засноваат на манипулација со довербата на корисниците, а не на искористување на технички пропусти – Google предупредува дека кампањата сè уште е активна
Групата на Google за информирање за закани (Threat Intelligence Group – GTIG) издаде ново предупредување во врска со опасна хакерска група позната како UNC6040, која успешно краде кориснички имиња, лозинки и други доверливи податоци едноставно така што жртвите одговараат на телефонски повик. Нападите не користат софтверски пропусти, бидејќи самиот корисник станува „слабата точка“ откако ќе поверува дека разговара со ИТ поддршка.
Оваа група, според Google, делува со финансиски мотиви и користи „вишинг“ (гласовен фишинг), лажно претставувајќи се како корпоративна ИТ поддршка. Напаѓачите ги убедуваат корисниците да инсталираат лажни апликации поврзани со Salesforce платформата, најчесто модифицирани верзии на официјалните алатки, како што е Data Loader. Потоа, добиваат пристап до доверливи податоци и го прошируваат нападот на други cloud услуги.
Во извештајот објавен на 4 јуни, GTIG наведува дека нападите се забележани во секторите за угостителство, малопродажба и образование, како во САД, така и во Европа. Нападите се софистицирани и често првичната компромитација на системите се случува месеци пред да дојде до каква било уцена или видлива злоупотреба на податоците.
Google ја поврза групата UNC6040 со познатата криминална мрежа The Com, која функционира како сајбер-криминална „социјална мрежа“ на Telegram и Discord канали. The Com служи како простор за соработка помеѓу хакерски групи и поединци, иако често вклучува и фалби без конкретни акции, GTIG напоменува дека тоа е погодно тло за ширење тактики и алатки. Не е потврдено дека UNC6040 и The Com директно соработуваат, но користат слични методи: социјален инженеринг, кражба на Okta креденцијали и таргетирање на корисници во големи меѓународни компании.
- Препораките за заштита кои ги наведува Google вклучуваат:
- Примена на принципот на најмала потребна привилегија (Least Privilege).
- Строга контрола на пристапот до поврзани апликации.
- Ограничување на пристапот врз основа на IP адреси.
- Користење алатки како Salesforce Shield за надзор и спроведување на безбедносни политики.
- Задолжителна двофакторска автентикација на сите системи.
- И најважното, никогаш не одговарајте на повици од непознати броеви, особено ако повикувачот се претставува како некој од ИТ поддршката. Ако веќе одговорите, не следете инструкции од непознати лица. Наместо тоа, контактирајте ја ИТ службата преку официјалните интерни канали.
Оваа кампања сè уште е активна, а Google предупредува дека клучната одбрана е вниманието на корисниците.
