- Obehörig åtkomst till en Salesforce-databas kopplad till Google; inga lösenord läckte ut.
- ShinyHunters/UNC6040 använde vishing och social engineering för att få behörigheter.
- Upp till 2.500 miljarder Gmail-adresser kan vara måltavlor för bedrägerier.
- Viktiga rekommendationer: dela inte koder, aktivera 2FA och övervaka åtkomst.
Obehörig åtkomst till en databas som finns på Salesforce och kopplat till Google har utlöst larm om den möjliga användningen av denna information i bedrägerikampanjer som syftar till att mer än 2.500 miljarder Gmail-konton guide till kontoåterställningFöretaget upptäckte intrånget, blockerade det och hävdar att inga lösenord eller inloggningsuppgifter exponerades.
Enligt detaljer som delat Googles hotinformationsteam går händelsen tillbaka till juni och beskrevs offentligt i början av augustiOperationen skulle ha innefattat social ingenjörskonst och utgivning av teknisk support för att få åtkomst som möjliggjorde kopiering. grundläggande affärs- och kontaktinformation.
Vad som hände och vem ligger bakom det
Googles hotinformationsgrupp (GTIG) tillskriver aktiviteten UNC6040, associerad med ShinyHunters-gruppen, känd för vishing-kampanjer (röstfiske). Angriparna utgav sig för att vara supportpersonal för att vägleda anställda och validera anslutningar från Manipulerade applikationer, såsom falska versioner av Data Loader från Salesforce, och därmed extrahera information.
Företaget hävdar att det som åtkoms var grundläggande företagsinformation (företagsnamn och kontaktuppgifter) och som inte komprometterades känsliga uppgifter såsom lösenord, inloggningsuppgifter eller finansiell informationÄndå kan sådant material ge näring åt nya bedrägeritaktiker.
Omfattning och siffror: varför vi pratar om 2.500 miljarder
Olika specialiserade publikationer, såsom Android rubriker, påpeka att den stulna informationen används för bedrägeriförsök mer än 2.500 miljarder Gmail-adresserI praktiken innebär detta en potentiell våg av e-postmeddelanden och samtal med säkerhetsförevändningar för att få användare att avslöja sina lösenord.
Google anger att de har meddelade berörda organisationer och konton och betonar att intrånget inte inkluderade lösenord. Men med företagsnamn och e-postadresser i handen kan brottslingarna starta nätfiske- och personifieringskampanjer med hög grad av trovärdighet, samt utpressningsförsök.
Bland de observerade taktikerna finns meddelanden och samtal som låtsas komma från Googles anställda varning för påstådda intrång och akuta inloggningsbehov. I vissa fall krävde angriparna enligt uppgift betalningar i kryptovalutor under mycket korta perioder (72 timmar), under hot om att avslöja uppgifterna.
Så här fungerade bluffen: social ingenjörskonst steg för steg
Angriparna kontaktade företagets personal och utgav sig för att vara legitim teknisk supportEfter att ha vunnit deras förtroende vägledde de offren till auktorisera programanslutningar tydligen nödvändig för rutinmässiga uppgifter.
Dessa tillstånd gjorde det möjligt för angriparna kopiera information från Salesforce utan att behöva kompromissa med lösenorden. Kampanjen har särskilt påverkat SMF som integrerar Googles tjänster med sitt CRM.
Aktuella risker för användare och varningssignaler
Den mest omedelbara faran är inte läckage av lösenord, utan utnyttjande av kontaktuppgifter att försöka sig på nya bedrägerier. E-postmeddelanden som ber om brådskande inloggning, samtal som kräver verifieringskoder eller länkar till falska paneler är nu de mest troliga krokarna.
För att undvika att falla i fällan, kom ihåg att Google begär inte lösenord eller 2FA-koder via e-post eller telefon.Var försiktig med tidspress, kontrollera avsändaren och kontrollera alltid URL:en innan du matar in data.
Snabba steg för att förbättra din säkerhet
Att ta enkla steg gör skillnadDessa är de prioriterade åtgärder som rekommenderas av säkerhetsteam och branschens bästa praxis.
- Dela aldrig din Google-verifieringskod. utan någon, via någon kanal.
- Identifiera bedrägliga e-postmeddelanden och samtalMisstänker du nödsituationen, verifiera din identitet och följ inte tvivelaktiga länkar.
- Aktivera tvåstegsverifiering (2FA/MFA) för att lägga till ett extra lager till ditt konto.
- Använd starka och unika lösenord och uppdatera dem om du misstänker någon konstig aktivitet.
- Övervakar aktiviteter och sessioner i ditt Google-konto och stäng okända åtkomster.
- Håll system och appar uppdaterade med de senaste säkerhetsuppdateringarna.
Rekommendationer för företag och administratörer
I företagsmiljöer krävs det att man minskar attackytan och begränsar effekterna. tekniska kontroller och fortbildning mot social ingenjörskonst.
- Principen om minsta privilegiumBegränsa behörigheter till vad som är absolut nödvändigt, inklusive användning av verktyg som Data Loader.
- Hantera anslutna apparGranska vilka applikationer som har åtkomst och vem som kan auktorisera dem.
- IP- och platsbegränsningartillämpa åtkomstkontroller på definierade nätverk och platser.
- Regelbunden utbildning inom vishing, phishing och digital hygien för alla anställda.
- Övervakning och revisionerGranska profiler, behörigheter och nedladdningar av stora datamängder.
- Automatiska varningar till onormalt beteende för att reagera i tid.
- Protokoll mot utpressningBetala inte, behåll bevis och eskalera via officiella kanaler.
Fallet illustrerar vilken inverkan social ingenjörskonst kan ha. Även utan lösenordsläckor möjliggör angripare storskaliga imitationer med kontaktdata. Att vara på sin vakt, tillämpa 2FA och validera all misstänkt kommunikation är de bästa allierade idag. skydda Gmail-konton och de företagsmiljöer som är beroende av dem.
