A giugno Google ha subito una significativa violazione della sicurezza di uno dei suoi sistemi Salesforce CRM, parte di una più ampia ondata di attacchi che sta colpendo molte grandi aziende a livello globale. La conferma è arrivata da Google Threat Intelligence, che ha attribuito l’incidente al gruppo criminale informatico noto come ShinyHunters (classificato da Google come UNC6040). Questo gruppo è noto per il suo uso sofisticato di tecniche di ingegneria sociale, in particolare il voice phishing (vishing), per compromettere gli account degli impiegati e accedere in modo non autorizzato ai dati conservati nella piattaforma Salesforce.

L’attacco a Google è stato portato avanti utilizzando una campagna di inganno che ha impersonato operatori IT per indurre i dipendenti aziendali a rivelare credenziali di accesso o ad autorizzare l’installazione di applicazioni malevole legate a Salesforce. Grazie a queste tecniche, i criminali sono riusciti a introdursi nel sistema Salesforce di Google, da cui hanno sottratto dati relativi a contatti di piccole e medie imprese clienti. Google ha precisato che le informazioni trafugate riguardano dati di base e per lo più pubblicamente disponibili come nomi aziendali e dettagli di contatto. L’accesso ai dati è stato consentito per un breve lasso di tempo prima che Google riuscisse a bloccare l’intrusione e iniziare le contromisure necessarie.

Questa violazione si inserisce in una campagna più ampia di attacchi rivolti contro ambienti Salesforce di diverse aziende di alto profilo tra cui Adidas, Qantas, Allianz Life e importanti marchi del gruppo LVMH quali Louis Vuitton, Dior e Tiffany & Co. Anche Chanel e Pandora hanno recentemente confermato violazioni simili ai dati dei propri clienti, attribuibili agli stessi metodi criminali.

salesforce-vishing-fig1.max-1700

ShinyHunters non si limita a rubare dati, ma dopo la sottrazione delle informazioni il gruppo utilizza questi asset per estorcere denaro alle vittime. Le tattiche di ricatto prevedono che l’organizzazione criminale contatti le aziende con richieste di riscatto per evitare la pubblicazione o la vendita delle informazioni rubate nei mercati neri digitali o su appositi siti dedicati alle fughe di dati. Alcune aziende hanno già ceduto ai pagamenti richiesti, come nel caso noto di un’impresa che ha versato circa 400.000 dollari in Bitcoin.

Un aspetto peculiare di questi attacchi è l’uso di versioni malevole di strumenti Salesforce, come la cosiddetta Data Loader app, o script Python analoghi, che vengono nascosti agli occhi degli operatori e utilizzati per estrarre agevolmente grandi quantitativi di dati. Inoltre, gli hacker utilizzano reti TOR per mascherare la propria identità e localizzazione.

Google, in un atto di trasparenza rara nel settore, ha riconosciuto pubblicamente la violazione e ha confermato di aver condotto un’analisi completa dell’impatto, implementando poi misure di mitigazione e rafforzamento della sicurezza per prevenire futuri attacchi simili. L’azienda ha anche sottolineato che i dati violati sono limitati e non includono informazioni finanziarie o più sensibili.

Questo caso mette in evidenza come nemmeno i più grandi colossi tecnologici siano immuni alle sofisticate campagne di attacchi informatici basate su ingegneria sociale, oltre a dimostrare la crescente vulnerabilità delle infrastrutture cloud e CRM alle infiltrazioni. Le aziende sono quindi chiamate a migliorare significativamente la formazione dei propri dipendenti sulle tecniche di phishing, adottare rigorose misure di sicurezza come l’autenticazione a più fattori (MFA), limitare i privilegi d’accesso e monitorare costantemente la propria infrastruttura digitale.

(Immagine in apertura: Shutterstock)