Human Risk Roundup: Salesforce Social-Engineering-Betrug gibt Cloud-Daten preis

In dieser Ausgabe des Human Risk Roundup berichten wir über einen aktuellen Social-Engineering-Betrug von Salesforce, der eine Welle raffinierter Angriffe anführt. Außerdem nutzen Bedrohungsakteure Vishing- und Phishing-Techniken, um Vertrauen auszunutzen und sich Zugang zu sensiblen Cloud-Daten und vernetzten Systemen zu verschaffen.

Salesforce Social-Engineering-Betrug zielt auf Cloud-Daten ab 

Forscher der Google Threat Intelligence Group (GTIG) sind UNC6040 auf der Spur, einem finanziell motivierten Bedrohungscluster, der sich laut GTIG auf Voice-Phishing-Kampagnen (Vishing) spezialisiert hat, die darauf abzielen, Salesforce-Systeme zu gefährden. Die UNC6040-Agenten nutzen Bedrohungsakteure, die sich als IT-Support ausgeben und die Opfer anrufen. 

Dieser Ansatz hat sich als besonders effektiv erwiesen, wenn es darum geht, Mitarbeiter, oft in englischsprachigen Niederlassungen multinationaler Unternehmen, zu Aktionen zu verleiten, die den Angreifern Zugang gewähren oder zur Weitergabe sensibler Anmeldeinformationen führen und so den Diebstahl von Salesforce-Daten des Unternehmens erleichtern. In allen beobachteten Fällen stützten sich die Angreifer auf die Manipulation von Endbenutzern und nicht auf die Ausnutzung einer Salesforce-eigenen Schwachstelle, schrieb die Google Threat Intelligence Group (GTIG) in einem Beitrag über den Betrug. 

Was geschah 

Die Angreifer gaben sich als IT-Support aus, riefen Mitarbeiter an und überzeugten sie, eine Phishing-Seite zu besuchen, die eine Salesforce-Einrichtungsseite imitierte. Die Opfer gaben Codes ein, die den OAuth-basierten Zugriff gewährten, so dass die Angreifer in Salesforce-Umgebungen und verbundene Plattformen wie Microsoft 365 und Okta eindringen konnten. Laut den Forschern waren mehrere Branchen das Ziel, darunter der Einzelhandel, das Bildungswesen und das Gastgewerbe. 

Warum es wichtig ist 

Diese Kampagne unterstreicht, wie Angreifer Vertrauen und menschliche Schwächen ausnutzen, um Schutzmaßnahmen wie die Multi-Faktor-Authentifizierung zu umgehen. Der Angriff auf Salesforce, eine wichtige Plattform für den Unternehmensbetrieb, betrifft nicht nur die Primärsysteme, sondern auch die miteinander verbundenen Cloud-Umgebungen, was die Risiken erhöht. 

Praktische Tipps für Sicherheitsverantwortliche 

Klären Sie Benutzer darüber auf, wie sie Social Engineering-Versuche erkennen und melden können. 

Schränken Sie die App-Berechtigungen ein , indem Sie die Apps von Drittanbietern vor der Genehmigung überprüfen. 

Überprüfen Sie OAuth-Berechtigungen, um unbefugten Zugriff zu identifizieren und zu entfernen. 

Erzwingen Sie strenge Zugriffskontrollen mit eingeschränkten Privilegien und MFA. 

Lesen Sie mehr darüber in CyberScoop.

Luna-Motte greift Anwaltskanzleien an  

Apropos Social-Engineering-Betrug: Das FBI warnt vor Luna Moth, einer Gruppe von Cyberkriminellen, die Phishing- und Social-Engineering-Taktiken einsetzt, um Anwaltskanzleien zu schädigen. Luna Moth, auch Silent Ransom Group (SRG), Chatty Spider, Storm-0252 und UNC3753 genannt, gibt es bereits seit 2022. Sie verwenden eine Taktik, die als Callback-Phishing oder telefonorientierte Angriffe (TOAD) bezeichnet wird, um Opfer dazu zu verleiten, Telefonnummern anzurufen, die in Phishing-E-Mails im Zusammenhang mit Rechnungen und Abonnementzahlungen enthalten sind.  

Was geschah 

Während des Anrufs werden die Opfer dazu verleitet, eine Fernzugriffssoftware zu installieren, die den Hackern die Kontrolle über das System gibt. Nach Angaben des FBI gibt sich Luna Moth als IT-Mitarbeiter aus und leitet Mitarbeiter zu Fernzugriffssitzungen für Datendiebstahl und Erpressung an. 

Warum es wichtig ist 

Da diese Kampagnen auf Anwaltskanzleien abzielen, in denen vertrauliche Kundendaten von entscheidender Bedeutung sind, stellen sie ein ernsthaftes Risiko für den Ruf, die Einhaltung von Vorschriften und die gesamte Geschäftstätigkeit dar. 

Praktische Tipps für Sicherheitsverantwortliche 

Schulen Sie Ihre Mitarbeiter darin, Phishing-E-Mails und Social Engineering-Taktiken zu erkennen. 

Überprüfen Sie IT-Anfragen, indem Sie Authentifizierungsprotokolle für Anrufe oder E-Mails einrichten. 

Überwachen Sie verdächtige Tools wie Rclone, WinSCP oder ungewöhnliche Fernzugriffsprogramme. 

Deaktivieren Sie den externen Fernzugriff für nicht unbedingt erforderliche Systeme. 

Überprüfen Sie den Netzwerkverkehr regelmäßig auf ungewöhnliche Verbindungen zu externen IPs. 

Nordkoreanischer IT-Mitarbeiter-Betrug entwickelt sich weiter  

Die ausgeklügelte Masche nordkoreanischer Agenten, die sich als Arbeitssuchende ausgeben und sich mit gefälschten LinkedIn-Profilen und Deepfake-Videos bei Tech-Firmen bewerben, scheint nicht nachzulassen. Hunderte von Unternehmen sind inzwischen ins Visier der Kriminellen geraten, die sensible Daten abschöpfen und die Einnahmen zur Finanzierung der nordkoreanischen Waffenprogramme umleiten.

Was geschah 

Das System ist seit mindestens 2022 auf dem Vormarsch. Laut einer kürzlich veröffentlichtenMitteilung des FBI weiten die Bedrohungsakteure ihre bösartigen Aktivitäten auf die Erpressung von Daten aus. In früheren Warnungen wurde darauf hingewiesen, dass ein single Akteur bis zu 300.000 Dollar pro Jahr verdienen kann, was zu einer Pipeline von zig Millionen Dollar beiträgt, die an sanktionierte Einrichtungen fließen. In diesem Monat hat das US-Justizministerium 7,74 Millionen Dollar in Kryptowährung beschlagnahmt, die nordkoreanischen IT-Mitarbeitern zuzuordnen sind, die sich mit gefälschten Identitäten Remote-Jobs gesichert und Geld geschleust haben. 

Warum es wichtig ist 

Dies ist ein Paradebeispiel für ein Insider-Risiko, das durch menschliche Manipulation verursacht wird. Das Vertrauen in den Einstellungsprozess wird zur Waffe, da diese Agenten ihre Positionen in Plattformen für Spionage und Cyberangriffe verwandeln. 

Praktische Tipps für Sicherheitsverantwortliche 

Stellen Sie sicher, dass die Einstellungsprotokolle eine strenge Identitätsüberprüfung beinhalten, einschließlich der Überprüfung der Echtheit von Dokumenten und Live-Video-Interviews. 

Implementieren Sie Zugriffsbeschränkungen für neue Mitarbeiter, um den Zugriff auf sensible Systeme während der Einarbeitung zu begrenzen. 

Überwachen Sie Verhaltensmuster auf Anomalien wie umgeleitete Gerätelieferungen oder verdächtige Zugriffsanfragen. 

Nutzen Sie Programme für Insider-Bedrohungen, um ungewöhnliche Aktivitäten im Zusammenhang mit Mitarbeitern in kritischen Positionen zu erkennen. 

Fördern Sie das Bewusstsein Ihrer Mitarbeiter, indem Sie ihnen beibringen, wie sie betrügerische Anwerbungstaktiken und Insider-Risiken erkennen können. 

Lesen Sie mehr von Beth Miller, Mimecast Field CISO, über dieses wachsende Problem.

Phishing-Betrug trifft Regierungsbehörden 

Phishing stand in letzter Zeit im Mittelpunkt mehrerer Vorfälle, die für Schlagzeilen sorgten und deutlich machten, dass dieses Phänomen nach wie vor eine Plage für Unternehmen darstellt. Die jüngsten Vorfälle bei der britischen Steuerbehörde HMRC (HM Revenue and Customs) und bei staatlichen Behörden in Texas und Illinois führten zu weitreichenden Schäden. 

Was geschah 

Die HMRC erlitt einen Verlust von 47 Millionen Pfund durch eine organisierte Verbrechergruppe, die Phishing ausnutzte, um Identitätsdaten zu sammeln und das Pay-As-You-Earn (PAYE) Steuersystem zu manipulieren. Obwohl keine Opfer direkte finanzielle Verluste hinnehmen mussten, waren 100.000 Konten betroffen, was zeigt, wie Betrüger das Vertrauen ausnutzen, um kritische Systeme zu missbrauchen. 

In Texas drangen Hacker in ein Konto im Crash Records Information System (CRIS) des Verkehrsministeriums ein und stahlen fast 300.000 Unfallberichte. Ein staatliches Beratungsgremium stellt fest, dass die Daten sensible Details wie Namen, Führerscheinnummern und Versicherungspolicen enthielten, was zu Bedenken hinsichtlich Identitätsdiebstahl und Betrug führte. 

In Illinois haben Cyberkriminelle eine Phishing-E-Mail verwendet, um einen Mitarbeiter des Ministeriums für Gesundheit und Familie zu kompromittieren. Dies führte zur Preisgabe von Sozialversicherungsnummern, staatlichen IDs und finanziellen Details im Zusammenhang mit Medicaid und Kindergeldprogrammen für fast 1.000 Personen. 

Warum es wichtig ist 

Diese Angriffe zeigen, wie leicht es für Kriminelle ist, Benutzer zu manipulieren, damit sie Zugang zu sensiblen Systemen gewähren. Die Verwendung authentischer Zugangsdaten, gepaart mit Phishing-Taktiken, umgeht viele Sicherheitsvorkehrungen.  

Praktische Tipps 

Bieten Sie Mitarbeiterschulungen an: Schulen Sie Ihre Teams regelmäßig darin, Phishing-Betrug zu erkennen und zu melden. 

Verstärken Sie die Zugriffskontrollen: Implementieren Sie robuste MFA und beschränken Sie die Kontoberechtigungen. 

Überwachen Sie ungewöhnliche Aktivitäten: Aktivieren Sie die Echtzeit-Protokollierung und kennzeichnen Sie anomales Verhalten in verbundenen Systemen. 

Lesen Sie mehr darüber in The Record.

Was Sie sehen sollten: Die verstreute Spinne webt weiter ihr Netz 

Scattered Spider, die Bedrohungsgruppe, die für den jüngsten Angriff auf das britische Einzelhandelsunternehmen Marks & Spencer verantwortlich gemacht wird, hat es nun auf Managed Service Provider und IT-Anbieter abgesehen, um deren Kunden zu infiltrieren. Einem Bericht von ReliaQuest zufolge nutzt die Gruppe Helpdesk-Systeme aus und hat es auf hochwertige Zugangsdaten abgesehen, insbesondere auf die von Systemadministratoren und Führungskräften. Mit fortschrittlichen Social-Engineering-Taktiken wie Phishing und Vishing manipuliert die Gruppe das Vertrauen der Menschen, um einen ersten Zugang zu erhalten.

Lesen Sie mehr darüber in Cybersecurity Dive.