Инцидент със сигурността, потвърден от Google, насочи вниманието към... масивен хак на GmailКиберпрестъпниците са получили достъп до корпоративна база данни, хоствана от Salesforce, и са използвали информацията, за да осъществяват измами и да се представят за други лица. Въпреки че не са изтекли пароли, обемът на откритите адреси поставя милиони потребители на радара за измами.
Компанията уточни, че нападателите, свързани с UNC6040/ShinyHunters, те използваха тактики на социално инженерство и фалшиви обаждания за поддръжка, за да се получи достъп и да се копират данни. Достъпът е осъществен през юни и публично потвърждение дойде през август чрез Групата за разузнаване на заплахи на Google (GTIG), след като е овладяла проникването и е уведомила засегнатите организации.
Официално потвърждение на инцидента и хронология
Google обясни, че нападателите са получили достъп до екземпляр на Salesforce използва се за управление на взаимоотношенията с клиентите и бизнес активността. Според компанията, получените приходи съответстват на основна информация за контакт (като например имена на фирми и имейл адреси), без пароли или финансова информация.
Потенциалният обхват е безпрецедентен: различни източници оценяват, че до 2.500 милиарда адреса в Gmail могат да бъдат обект на злонамерени кампании, водени от открадната информация. Характерът на данните улеснява подготовката достоверен фишинг и атаки с фалшифициране.
След откриване на неоторизиран достъп, GTIG блокира дейността, засилен контрол и активирана комуникация с потенциално засегнати потребители и организации. Разследването продължава, за да се пресекат потенциални пътища за злоупотреба и да се идентифицира инфраструктурата, използвана от нападателите.
В допълнение към личните сметки, някои организации, които използват Google Cloud По свързан начин те биха могли да видят разкрити данни за контакт, свързани с тяхната среда, без доказателства за компрометирани идентификационни данни, настоя компанията.
Кой стои зад това и как са действали
Инцидентът се приписва на UNC6040/ShinyHunters, група с опит в вишинг и представяне за екипи за поддръжка. Тяхната стратегия разчиташе на телефонни обаждания, които да насочват служители от различни компании към разрешаване на достъп, който изглеждаше легитимен.
В няколко случая нападателите са използвали манипулирани приложения като фалшиви версии на Data Loader на Salesforce, за да получат разрешения и да извлекат информация. Те не са използвали критичен технически недостатък, а по-скоро... човешки фактор и доверие в рутинните процеси.
Успоредно с това са документирани опити за изнудване чрез имейл или телефонни обаждания, с искания за плащане (включително криптовалута) под заплахата от разкриване на откраднати данни. Този натиск е насочен предимно към компании с публично присъствие.
Основните цели бяха малки и средни предприятия, които често комбинират множество инструменти и работни процеси. Този сценарий улеснява провеждането на постоянни, мащабни кампании за социално инженерство.
Обхват и рискове за потребителите и компаниите
С такава широка адресна база, престъпниците могат да стартират масов и селективен фишинг със съобщения, които изглеждат от Google, докладващи за фалшиви нарушения или изискващи спешни проверки за кражба на идентификационни данни.
Има съобщения за обаждания, в които самозванци се преструват Агенти за поддръжка на Google и предлагат нулиране на защитата на акаунта. По време на този симулиран процес те се опитват да уловят ключове или кодове, а след това отвличане на акаунта и променете паролата.
Рискът надхвърля имейла: с валидиран имейл, нападателите могат да опитат възстановяване на достъпа до други услуги (банкиране, социални мрежи, абонаменти), верижни инциденти, които засягат целия дигитален живот.
Експертите посочват и допълнителни техники, като например DNS висящи в лошо конфигурирани среди, което би могло да улесни кражбата на данни или разпространението на зловреден софтуер в много специфични сценарии.
Как да защитите профила и организацията си
Отвъд това проникване, защитата включва комбиниране технически мерки и навици: активиране на двуетапно потвърждаване, приемане ключалки Винаги, когато е възможно, използвайте Проверка на сигурността и да оцените Програмата за разширена защита за акаунти с висок риск.
За частни потребители
- Активирайте потвърждаването в две стъпки и, ако е възможно, използвайте пароли, за да намалите използването им.
- Внимавайте със спешни имейли и обаждания които ви молят да влезете или да споделите кодове; винаги проверявайте подателя.
- Проверете активността на акаунта си и да затворите неизвестни сесии от панела за сигурност на Google.
- Използвайте уникални и силни пароли с мениджър на паролиизбягвайте повтарянето на пароли между услугите.
- Поддържайте устройствата и приложенията актуализирани с най-новите корекции за сигурност.
За фирми и администратори
- Приложете принципа на най-малките привилегии към свързани потребители и приложения.
- Контролирайте интеграциите със SalesforceПрегледайте токените, OAuth, използването на Data Loader и ефективните разрешения.
- Ограничаване на достъпа по IP адрес и местоположение и установява допълнителни одобрения за групови изтегляния.
- Внедряване на одити и предупреждения за откриване на аномално поведение и необичайни движения на данни.
- Обучете персонала срещу вишинга и проверявайте всички заявки за поддръжка чрез официални канали.
- Документирайте и докладвайте опити за изнудване до каналите за реагиране при инциденти и властите.
Ако сте получили известие от Google, незабавно приложете посочените препоръкиВалидирайте статуса на вашия домейн и прегледайте достъпа на трети страни. Поддържайте комуникация чрез официални канали и избягвайте споделянето на кодове за потвърждение по телефон или имейл.
Цялата снимка показва атака, основана на социално инженерство което използваше легитимни процеси за извличане на данни за контакт, хоствани в Salesforce. Въпреки че паролите не бяха компрометираниМасовото излагане на имейл адреси на риск умножава опитите за измами; засилването на удостоверяването, дигиталната хигиена и контрола на достъпа е най-добрият начин за борба с това.
