Rischio umano: una serie di truffe di Salesforce: Una truffa di social-engineering di Salesforce espone i dati del cloud

In questo numero di Human Risk Roundup, descriviamo nel dettaglio una recente truffa di social engineering di Salesforce che sta guidando un'ondata di attacchi sofisticati. Inoltre, gli attori delle minacce stanno utilizzando tecniche di vishing e phishing per sfruttare la fiducia e ottenere l'accesso a dati cloud sensibili e a sistemi interconnessi.

La truffa di social-engineering di Salesforce prende di mira i dati del cloud 

I ricercatori del Google Threat Intelligence Group (GTIG) stanno monitorando UNC6040, un gruppo di minacce a sfondo finanziario che, secondo GTIG, è specializzato in campagne di voice phishing (vishing) che mirano a compromettere i sistemi Salesforce. Gli operatori dell'UNC6040 utilizzano attori minacciosi che si fingono addetti all'assistenza informatica e chiamano le vittime. 

Questo approccio si è dimostrato particolarmente efficace nell'ingannare i dipendenti, spesso all'interno di filiali anglofone di aziende multinazionali, in azioni che garantiscono agli aggressori l'accesso o portano alla condivisione di credenziali sensibili, facilitando il furto dei dati Salesforce dell'organizzazione. In tutti i casi osservati, gli aggressori si sono affidati alla manipolazione degli utenti finali, senza sfruttare alcuna vulnerabilità inerente a Salesforce, ha scritto Google Threat Intelligence Group (GTIG) in un post sulla truffa. 

Cosa è successo 

Gli aggressori si sono spacciati per assistenza IT, hanno chiamato i dipendenti e li hanno convinti a visitare un sito di phishing che imitava una pagina di configurazione di Salesforce. Le vittime hanno inserito i codici che concedono l'accesso basato su OAuth, consentendo agli aggressori di infiltrarsi negli ambienti Salesforce e nelle piattaforme collegate come Microsoft 365 e Okta. I ricercatori affermano che sono stati presi di mira diversi settori, tra cui la vendita al dettaglio, l'istruzione e l'ospitalità. 

Perché è importante 

Questa campagna sottolinea come gli aggressori sfruttino la fiducia e le vulnerabilità umane per aggirare le difese come l'autenticazione a più fattori. Prendendo di mira Salesforce, una piattaforma cruciale per le operazioni aziendali, la violazione non riguarda solo i sistemi primari ma anche gli ambienti cloud interconnessi, amplificando i rischi. 

Consigli pratici per i leader della sicurezza 

Educare gli utenti a individuare e segnalare i tentativi di social engineering. 

Limita i permessi delle app controllando le applicazioni di terze parti prima dell'approvazione. 

Esamini le autorizzazioni OAuth per identificare e rimuovere gli accessi non autorizzati. 

Imponga forti controlli di accesso con privilegi limitati e MFA. 

Per saperne di più, legga CyberScoop.

La falena Luna prende di mira gli studi legali  

A proposito di truffe di ingegneria sociale, l'FBI sta mettendo in guardia da Luna Moth, un gruppo di cybercriminali che sta utilizzando tattiche di phishing e di ingegneria sociale per colpire gli studi legali. Luna Moth, chiamata anche Silent Ransom Group (SRG), Chatty Spider, Storm-0252 e UNC3753, è in circolazione dal 2022. Utilizzano una tattica chiamata callback phishing o telephone-oriented attack delivery (TOAD) per ingannare le vittime e indurle a chiamare i numeri di telefono inclusi nelle e-mail di phishing relative a fatture e pagamenti di abbonamenti.  

Cosa è successo 

Durante la chiamata, le vittime vengono indotte a installare un software di accesso remoto, dando agli hacker il controllo del sistema. I funzionari dell'FBI affermano che Luna Moth impersona il personale IT e guida i dipendenti in sessioni di accesso remoto per il furto di dati e l'estorsione. 

Perché è importante 

Prendendo di mira gli studi legali, dove i dati riservati dei clienti sono fondamentali, queste campagne comportano gravi rischi per la reputazione, la conformità e le operazioni complessive. 

Consigli pratici per i leader della sicurezza 

Istruisca i dipendenti a riconoscere le e-mail di phishing e le tattiche di social engineering. 

Verifica le richieste IT stabilendo protocolli di autenticazione per le chiamate o le e-mail. 

Monitorare strumenti sospetti come Rclone, WinSCP o programmi di accesso remoto non comuni. 

Disabiliti l'accesso remoto esterno per i sistemi non essenziali. 

Verifichi regolarmente il traffico di rete per individuare connessioni insolite a IP esterni. 

La truffa dei lavoratori IT della Corea del Nord continua ad evolversi  

Il sofisticato schema che coinvolge agenti nordcoreani che si fingono in cerca di lavoro e si candidano a ruoli presso aziende tecnologiche utilizzando falsi profili LinkedIn e video deepfake non mostra segni di cedimento. Centinaia di aziende sono state prese di mira dai criminali, che sottraggono dati sensibili e dirottano le entrate per finanziare i programmi di armamento della Corea del Nord.

Cosa è successo 

Lo schema è in crescita almeno dal 2022. Secondo un recente avviso rilasciato dall''FBI, gli attori delle minacce stanno aumentando la loro attività maligna per includere l''estorsione di dati. Gli avvisi precedenti hanno rilevato che un single agente può guadagnare fino a 300.000 dollari all''anno, contribuendo a una pipeline di decine di milioni di dollari che fluiscono verso entità sanzionate. Questo mese, il Dipartimento di Giustizia degli Stati Uniti ha sequestrato 7,74 milioni di dollari in criptovaluta riconducibili a lavoratori IT nordcoreani che hanno utilizzato identità false per assicurarsi lavori a distanza e incanalare denaro. 

Perché è importante 

Questo è un ottimo esempio di rischio insider guidato dalla manipolazione umana. La fiducia nel processo di assunzione viene armata, in quanto questi operatori hanno trasformato le loro posizioni in piattaforme per lo spionaggio e i cyberattacchi. 

Consigli pratici per i leader della sicurezza 

Si assicuri che i protocolli di assunzione includano una rigorosa verifica dell'identità, con controlli sull'autenticità dei documenti e interviste video dal vivo. 

Implementare le restrizioni di accesso per i nuovi assunti per limitare l'esposizione ai sistemi sensibili durante l'onboarding. 

Monitorare i modelli di comportamento per individuare anomalie come consegne di apparecchiature deviate o richieste di accesso sospette. 

Si affidi ai programmi di insider threat per identificare attività insolite legate a dipendenti che ricoprono ruoli critici. 

Promuovere la consapevolezza con una formazione della forza lavoro incentrata sul riconoscimento delle tattiche di reclutamento fraudolente e dei rischi insider. 

Leggete le parole di Beth Miller, CISO di Mimecast, su questo problema crescente.

Le truffe di phishing colpiscono le agenzie governative 

Il phishing è stato al centro di diversi incidenti governativi che hanno fatto notizia di recente, evidenziando come continui ad affliggere le organizzazioni. I recenti incidenti presso l'HM Revenue and Customs (HMRC) del Regno Unito e le agenzie statali del Texas e dell'Illinois hanno provocato danni diffusi. 

Cosa è successo 

L'HMRC ha subito una perdita di 47 milioni di sterline a causa di un gruppo di criminalità organizzata che ha sfruttato il phishing per raccogliere dati di identità e manipolare il sistema fiscale Pay-As-You-Earn (PAYE). Sebbene nessuna vittima abbia subito perdite finanziarie dirette, sono stati colpiti 100.000 conti, mostrando come i truffatori sfruttino la fiducia per sfruttare i sistemi critici. 

In Texas, gli hacker hanno violato un account del Crash Records Information System (CRIS) del Dipartimento dei Trasporti, rubando quasi 300.000 rapporti di incidenti. Un avviso statale rileva che i dati includevano dettagli sensibili come nomi, numeri di patente e polizze assicurative, sollevando preoccupazioni per il furto di identità e le frodi. 

In Illinois, i criminali informatici hanno utilizzato un'e-mail di phishing per compromettere un dipendente del Department of Healthcare and Family Services. Questo ha portato all'esposizione di numeri di previdenza sociale, ID statali e dettagli finanziari legati ai programmi Medicaid e di mantenimento dei figli per quasi 1.000 persone. 

Perché è importante 

Questi attacchi dimostrano quanto sia facile per i criminali manipolare gli utenti affinché concedano l'accesso a sistemi sensibili. L'uso di credenziali autentiche, abbinato a tattiche di phishing, aggira molte difese di sicurezza.  

Consigli pratici 

Fornisca una formazione ai dipendenti: Istruisca regolarmente i team sull'individuazione e la segnalazione delle truffe di phishing. 

Rafforzare i controlli di accesso: Implementare un MFA robusto e limitare le autorizzazioni dell'account. 

Monitorare le attività insolite: Abilita la registrazione in tempo reale e segnala i comportamenti anomali nei sistemi collegati. 

Per saperne di più, legga The Record.

Cosa guardare: Il Ragno Sparso continua a tessere la sua tela 

Scattered Spider, il gruppo di minacce ritenuto responsabile del recente attacco al rivenditore britannico Marks & Spencer, sta ora prendendo di mira i fornitori di servizi gestiti e i venditori IT in una campagna di infiltrazione dei clienti di queste aziende. Un rapporto di ReliaQuest rileva che il gruppo sta sfruttando i sistemi di help-desk e punta alle credenziali di alto valore, in particolare quelle degli amministratori di sistema e dei dirigenti. Utilizzando tattiche avanzate di ingegneria sociale come il phishing e il vishing, il gruppo manipola la fiducia umana per ottenere l'accesso iniziale.

Per saperne di più, legga Cybersecurity Dive.