Google подтвердила утечку данных после взлома Salesforce-инстанции

Google подтвердила утечку данных после взлома Salesforce-инстанции

Google подтвердила утечку данных после взлома Salesforce-инстанции

Google подтвердила, что стала очередной жертвой кибергруппировки ShinyHunters — той самой, что стоит за недавней серией атак на компании, использующие CRM Salesforce. Как выяснилось, ещё в июне злоумышленники, которых в Google обозначили как UNC6040, смогли получить доступ к одной из корпоративных Salesforce-инстанций.

В этой системе хранились контактные данные и заметки по малому и среднему бизнесу — именно они и были скачаны злоумышленниками.

В корпорации подчёркивают, что в руки хакеров попала в основном «базовая и во многом публично доступная информация»: названия компаний, контактные данные и т. д.

После обнаружения инцидента Google провела анализ последствий и начала принимать меры по устранению последствий и предотвращению подобных атак в будущем.

Всё это — часть масштабной кампании ShinyHunters. Ранее они уже прославились взломами PowerSchool, Snowflake, AT&T, Oracle Cloud и других крупных компаний.

Судя по переписке с изданием BleepingComputer, атаки на Salesforce до сих пор продолжаются, а список жертв растёт. По словам самих хакеров, они уже пробрались в системы «компании с триллионной капитализацией». Название не уточняется — но, возможно, речь идёт как раз о Google.

Кроме Google, в числе пострадавших — Adidas, Cisco, Qantas, Allianz Life, а также люксовые бренды LVMH: Louis Vuitton, Dior и Tiffany & Co. В некоторых случаях ShinyHunters требует выкуп — BleepingComputer знает о как минимум одной компании, которая уже заплатила 4 биткоина (примерно $400 000), чтобы её данные не утекли в сеть.

Хакеры угрожают, что после завершения всех «переговоров» начнут выкладывать данные в открытый доступ или продавать их на форумах.

Фишеры научились рассылать письма с настоящих адресов крупных компаний

В даркнете появилась платформа для массовых фишинговых рассылок, которая умеет подставлять в строку отправителя реальные адреса известных организаций. На экране все выглядит убедительно: знакомый домен, привычное имя компании и письмо, которое легко принять за официальное.

Инструмент работает на основе спуфинга — подмены данных отправителя. В результате жертва видит настоящий корпоративный имейл, хотя сообщение на самом деле отправили мошенники.

По данным BI.ZONE Threat Intelligence, которые передаёт газета «Известия» ,платформу уже рекламируют на теневых площадках как готовый сервис для массовых атак.

Она позволяет не только использовать чужие адреса, но и автоматически собирать изображения с официальных сайтов, чтобы копировать логотипы, фирменное оформление и стиль писем.

Это делает фишинг особенно опасным. Обычный совет «проверьте адрес отправителя» здесь уже может не сработать: домен в письме действительно будет принадлежать реальной компании.

Такие сообщения могут маскироваться под счета, уведомления службы безопасности, документы, предложения от подрядчиков или просьбы срочно подтвердить данные. Дальше всё по классике: ссылка на поддельный сайт, вредоносное вложение или попытка выманить логин, пароль и банковские реквизиты.

Эксперты предупреждают, что даже внимательному пользователю будет сложно отличить такую подделку от настоящего письма. Поэтому теперь смотреть только на строку «От кого» недостаточно. Нужно проверять ссылки, контекст запроса и любые неожиданные требования что-то скачать, оплатить или срочно ввести данные.

RSS: Новости на портале Anti-Malware.ru