- Uautoriseret adgang til en Salesforce-database knyttet til Google; ingen adgangskoder lækket.
- ShinyHunters/UNC6040 brugte vishing og social engineering til at indhente tilladelser.
- Op til 2.500 milliarder Gmail-adresser kan være mål for svindel.
- Vigtigste anbefalinger: del ikke koder, aktiver 2FA, og overvåg adgang.
Uautoriseret adgang til en database, der hostes på Salesforce og knyttet til Google har udløst alarm om den mulige brug af disse oplysninger i svindelkampagner rettet mod mere end 2.500 milliarder Gmail-konti vejledning til kontogendannelseVirksomheden opdagede indtrængen, blokerede den og fastholder, at ingen adgangskoder eller legitimationsoplysninger blev afsløret.
Ifølge detaljer delt af Googles trusselsefterretningsteams stammer hændelsen fra juni og blev offentligt beskrevet i begyndelsen af augustOperationen ville have involveret social engineering-teknikker og efterligning af teknisk support for at opnå adgang, der tillod kopiering. grundlæggende forretnings- og kontaktoplysninger.
Hvad der skete, og hvem står bag det
Google Threat Intelligence Group (GTIG) tilskriver aktiviteten UNC6040, tilknyttet ShinyHunters-gruppen, kendt for vishing-kampagner (stemmephishing). Angriberne udgav sig for at være supportmedarbejdere for at vejlede medarbejdere og validere forbindelser fra Manipulerede applikationer, såsom falske versioner af Data Loader fra Salesforce, og dermed udtrække information.
Virksomheden fastholder, at det, der blev tilgået, var grundlæggende virksomhedsoplysninger (firmanavne og kontaktoplysninger) og som ikke blev kompromitteret følsomme data såsom adgangskoder, loginoplysninger eller økonomiske oplysningerAlligevel kan sådant materiale give næring til nye bedrageriske taktikker.
Omfang og tal: hvorfor vi taler om 2.500 milliarder
Diverse specialiserede publikationer, som f.eks. Android overskrifter, påpege, at de stjålne oplysninger bruges til at forsøge at svindle mere end 2.500 milliarder Gmail-adresserI praksis betyder det en potentiel bølge af e-mails og opkald med sikkerhedsmæssige påskud til få brugerne til at afsløre deres adgangskoder.
Google angiver, at det har underrettede berørte organisationer og konti og understreger, at indbruddet ikke omfattede adgangskoder. Med firmanavne og e-mailadresser i hånden kan de kriminelle dog iværksætte phishing- og efterligningskampagner med en høj grad af plausibilitet, samt afpresningsforsøg.
Blandt de observerede taktikker er beskeder og opkald, der foregiver at komme fra Google-medarbejdere advarsel om påståede brud og presserende loginbehov. I nogle tilfælde krævede angriberne angiveligt betalinger i kryptovalutaer i meget korte perioder (72 timer), under trussel om at afsløre dataene.
Sådan fungerede svindelen: social engineering trin for trin
Angriberne kontaktede virksomhedens personale og udgav sig for at være legitim teknisk supportEfter at have vundet deres tillid, ledte de ofrene til autoriser programforbindelser tilsyneladende nødvendigt for rutineopgaver.
Disse tilladelser tillod angriberne kopiér oplysninger fra Salesforce uden at skulle kompromittere adgangskoder. Kampagnen har især påvirket SMV'er der integrerer Google-tjenester med deres CRM.
Aktuelle risici for brugere og advarselstegn
Den mest umiddelbare fare er ikke lækage af adgangskoder, men udnyttelse af kontaktdata at forsøge nye svindelnumre. E-mails, der beder om hurtig login, opkald, der kræver bekræftelseskoder eller links til falske paneler er nu de mest sandsynlige kroge.
For at undgå at falde i fælden, husk at Google anmoder ikke om adgangskoder eller 2FA-koder via e-mail eller telefon.Vær opmærksom på tidspres, tjek afsenderen og Tjek altid URL'en før indtastning af data.
Hurtige trin til at forbedre din sikkerhed
At tage enkle skridt gør en forskelDette er de prioriterede handlinger, der anbefales af sikkerhedsteams, og bedste praksis i branchen.
- Del aldrig din Google-bekræftelseskode. uden nogen, gennem nogen kanal.
- Identificer svindel-e-mails og -opkaldHvis du har mistanke om nødsituationen, skal du bekræfte din identitet og ikke følge mistænkelige links.
- Aktivér totrinsbekræftelse (2FA/MFA) for at tilføje et ekstra lag til din konto.
- Brug stærke og unikke adgangskoder og opdater dem, hvis du har mistanke om mærkelig aktivitet.
- Overvåger aktiviteter og sessioner i din Google-konto og luk ukendte adgange.
- Hold systemer og apps opdaterede med de seneste sikkerhedsopdateringer.
Anbefalinger til virksomheder og administratorer
I virksomhedsmiljøer kræver det at reducere angrebsfladen og inddæmme virkningen tekniske kontroller og løbende træning imod social manipulation.
- Princippet om mindste privilegiumBegræns tilladelser til det strengt nødvendige, herunder brugen af værktøjer som Data Loader.
- Administration af tilsluttede apps: Overvåg hvilke applikationer der har adgang, og hvem der kan godkende dem.
- IP- og lokationsbegrænsningerAnvend adgangskontroller på definerede netværk og websteder.
- Periodisk træning inden for vishing, phishing og digital hygiejne for alle medarbejdere.
- Overvågning og revisionerGennemgå profiler, tilladelser og downloads af store mængder data.
- Automatiske alarmer til unormal adfærd for at reagere i tide.
- Protokol mod afpresning: betal ikke, gem beviser og eskaler gennem officielle kanaler.
Sagen illustrerer den indflydelse, som social engineering kan have. Selv uden lækage af adgangskoder muliggør angribere omfattende efterligninger med kontaktdata. At være på vagt, anvende 2FA og validere enhver mistænkelig kommunikation er de bedste allierede i dag. Hold Gmail-konti sikre og de virksomhedsmiljøer, der er afhængige af dem.
