Haziran ayında teknoloji devi Google, Salesforce müşterilerine yönelik kitlesel hesap ele geçirme kampanyası hakkında bir açıklama yapmıştı. Saldırganlar, müşteri IT departmanlarından bir yetkili gibi davranarak, acil erişim gerektiren bir sorun bahanesiyle hesaplara sızıyordu. Ancak iki ay sonra Google'dan gelen itiraf şaşırttı: Kendileri de bu dolandırıcılığın kurbanı oldu.
Bu siber saldırılar, elde ettikleri verileri yüksek fiyatlarla satmayı amaçlayan finansal motivasyonlu tehdit grupları tarafından gerçekleştiriliyor. Saldırganlar, yazılım veya web sitesi açıklarından yararlanmak yerine daha basit bir yöntem izliyor: Hedef firmaları telefonla arayarak erişim talep etmek. Bu yöntem şaşırtıcı derecede başarılı oluyor. Habere göre, Salesforce altyapısı ele geçirilen şirketler arasında Adidas, Qantas, Allianz Life, Cisco ve LVMH bünyesindeki Louis Vuitton, Dior ve Tiffany & Co. gibi dev markalar da bulunuyor.
İş işten Geçmeden Önlem Almak Gerek
Saldırganlar, Salesforce'un üçüncü taraf uygulamaların hesaplara entegre edilmesine olanak tanıyan bir özelliğini kötüye kullanıyor. Bu uygulamalar, şirketlerin blog yazıları, haritalama araçları ve benzeri kaynaklarla veri entegrasyonu sağlıyor. Kampanyadaki saldırganlar, şirket çalışanlarına ulaşıyor ve onları Salesforce örneğine harici bir uygulama bağlamaları konusunda yönlendiriyor. Çalışanlar bu bağlantıyı kurarken, saldırganlar bağlantı öncesinde Salesforce arayüzünün gerektirdiği sekiz haneli güvenlik kodunu istiyor. Saldırganlar bu kod ile hesaba ve içindeki tüm verilere erişim sağlıyor.
Google, Salesforce altyapısının da ele geçirilenler arasında olduğunu belirtti. Saldırı Haziran ayında gerçekleşmiş olmasına rağmen, Google bu durumu ancak Salı günü kamuoyuna duyurdu; muhtemelen şirketin olayı yakın zamanda öğrenmesiyle bu durum ortaya çıktı.
Şirket, yaptığı analiz sonucunda, erişimin kesilmesinden önceki kısa bir zaman diliminde tehdit aktörü tarafından veri alındığını belirtti. Saldırganların elde ettiği verilerin, büyük ölçüde zaten halka açık olan iş isimleri ve iletişim detayları gibi ticari bilgilerle sınırlı kaldığı ifade edildi.
Google başlangıçta saldırıları, UNC6040 olarak bilinen bir gruba atfetmişti. Şirket ayrıca, UNC6042 adlı ikinci bir grubun da, UNC6040'ın müdahalelerinden “bazen aylar sonra” gasp faaliyetlerine giriştiğini ekledi. Bu grup kendisini ShinyHunters olarak markalaştırıyor.
Google, “Ayrıca, 'ShinyHunters' markasını kullanan tehdit aktörlerinin bir veri sızdırma sitesi (DLS) başlatarak gasp taktiklerini artırmaya hazırlandıklarına inanıyoruz” dedi. “Bu yeni taktiklerin, son UNC6040 Salesforce ile ilgili veri ihlallerine karışanlar da dahil olmak üzere kurbanlar üzerindeki baskıyı artırması muhtemeldir.”
Google'ın olayı iki ay gecikmeyle duyurmasının da gösterdiği gibi, bu dolandırıcılığa Google dahil birçok şirket kurban gittiğinden, daha fazla sayıda bilinmeyen mağdurun olması yüksek ihtimal. Tüm Salesforce müşterileri, altyapılarını dikkatlice inceleyerek hangi harici kaynakların erişimi olduğunu kontrol etmeli. Ayrıca çok faktörlü kimlik doğrulama yöntemlerini uygulamalı ve personeli bu tür dolandırıcılıkları başarılı olmadan tespit etme konusunda eğitime tabi tutmalıdır.
