Google visar att storföretag kan luras av telefonbedragare

När nätfiske görs via telefon kallas det ”vishing” – en sammanslagning av de engelska orden ”voice” och ”phishing”. Bedragare ringer till medarbetare och lurar dem att avslöja känsliga uppgifter, till exempel lösenord.

De senaste månaderna har hotaktören UNC6040 utfört lyckade vishing-attacker mot flera storbolag. Google Threat Intelligence Group (GTIG) har kartlagt hotaktörens aktiviteter. I juni publicerade GTIG en lång artikel om hotaktörens tillvägagångssätt . I början av augusti uppdaterade GTIG sin artikel efter att en ny organisation hade fallit offer: Google själva.

Stulen data används i utpressningsattacker

Enligt GTIG:s artikel fokuserar hotaktören UNC6040 för stunden på att stjäla data från företags Salesforce-instanser. Salesforce är en populär molntjänst som används för bland annat försäljning och marknadsföring.

GTIG poängterar att hotaktören inte utnyttjar någon sårbarhet i Salesforces plattform. Hotaktören lurar till sig åtkomst genom att ringa till företagen och utge sig för att vara Salesforces it-support. Angriparna övertygar personen som blir uppringd att uppge sina inloggningsuppgifter eller att godkänna en integration (”app”) som ger angriparna tillgång till företagets data. Sedan hotar angriparna med att läcka datan om de inte får betalt.

Under de senaste månaderna har många storföretag meddelat att de har fallit offer för kunddataläckor som misstänks vara kopplade till UNC6040-attacker.

• Adidas
• Allianz Life
• Chanel
• Dior
• Google
• Louis Vuitton
• Pandora
• Qantas

Medan de flesta offer undviker att nämna varifrån datan stals är Google öppna med att deras data stals från Salesforce och att UNC6040 låg bakom.

Medarbetare på alla företag kan bli lurade

Dessa attacker är en viktig påminnelse till it-avdelningar över hela världen. Vishing-attacker är inte något som bara småföretag råkar ut för. Google-incidenten visar med all tydlighet att företag av alla storlekar kan falla offer. Alla företag bör därför utbilda medarbetarna om problemet med vishing-attacker.

Svenska företag bör också påminna medarbetarna om problemet med så kallade spoofade samtal. I början av året avslöjade vi på SSF hur det, trots nya krav på operatörerna, var möjligt att spoofa (förfalska) uppringarnummer . Vi demonstrerade, live i TV4 Nyhetsmorgon, hur vi kunde ringa den ena programledaren från den andra programledarens nummer.

Spoofing-problematiken är ett av många skäl till varför medarbetarna bör kommunicera via säkra samarbetsplattformar (till exempel Teams, Slack, Element eller Nextcloud Talk) i stället för via telefon, sms och mejl.

Förstärk skyddet mot nätfiskeattacker

Salesforce har själva uppmärksammat angreppen. Salesforce har därför publicerat en supportartikel med rekommendationer för hur företag kan minska risken att falla offer för de sociala manipulationsattackerna. Supportartikeln handlar om Salesforce egna tjänster, men rekommendationerna är allmängiltiga.

Salesforce påminner om vikten av tvåfaktorsautentisering. Trots att detta är en av de absolut viktigaste åtgärderna för alla molntjänster är det bara 53 procent av svenska småföretag som använder tvåfaktorsautentisering (läs mer i artikeln ”Små företag slavar med tvåfaktorsautentisering ”).

Det allra bästa är om medarbetarna byter traditionell lösenordsinloggning mot inloggning med nycklar. Till skillnad från de flesta andra inloggningsmetoder är det tekniskt omöjligt att nätfiska nyckelinloggningar. Läs mer om detta i vår guide om att välja rätt lösenordspolicy för företaget . På passkeyindex.io finns en sammanställning över kända molntjänster som stödjer nyckelinloggning, däribland Salesforce.

Salesforce påminner också om att begränsa vilka ip-adresser som ska tillåtas. Genom att begränsa ip-adresserna till specifika spann kan användarna enbart logga in från företagets eget nätverk. Om medarbetare ska logga in på distans måste de tunnla trafiken via en vpn-tjänst. Läs mer om detta i guide om att skydda medarbetarnas trafik med vpn .

Sist men inte minst uppmanar Salesforce företag att noggrant se över vilka behörigheter som medarbetarna har. Inga medarbetare ska ha bredare behörigheter än vad som krävs för att de ska kunna utföra sina arbetsuppgifter. I takt med att arbetsuppgifterna förändras behöver behörigheterna anpassas. Det är därför en god idé att se över alla medarbetares behörigheter på årsbasis.