Salesforce được biết đến là một doanh nghiệp chuyên cung cấp các giải pháp toàn diện cho doanh nghiệp, bao gồm quản lý bán hàng, dịch vụ khách hàng, tự động hóa tiếp thị, thương mại điện tử…
 |
Các tin tặc được nền tảng Google Threat Intelligence Group theo dõi với tên gọi UNC6040, cho thấy khả năng đặc biệt hiệu quả trong lừa đảo nhân viên, lôi kéo họ cài đặt phiên bản đã sửa đổi của Data Loader của Salesforce, một công cụ độc quyền được sử dụng để nhập hàng loạt dữ liệu vào môi trường Salesforce, các nhà nghiên cứu cho biết.
Tin tặc sử dụng cuộc gọi thoại để lừa nhân viên các công ty truy cập vào trang thiết lập ứng dụng được kết nối với Salesforce với mục đích là dụ họ chấp thuận phiên bản đã sửa đổi, trái phép của ứng dụng do tin tặc tạo ra để mô phỏng Data Loader.
Các nhà nghiên cứu cho biết, nếu nhân viên cài đặt ứng dụng, tin tặc sẽ có khả năng truy cập, truy vấn và đánh cắp thông tin nhạy cảm trực tiếp từ môi trường khách hàng Salesforce bị xâm phạm. Quyền truy cập này cũng cung cấp cho tin tặc khả năng di chuyển khắp hệ thống mạng của khách hàng, cho phép tấn công vào các dịch vụ đám mây khác và mạng nội bộ của công ty.
Theo các chuyên gia của Google, các tổ chức cũng như cá nhân người dùng đã chuẩn bị đối phó với tình huống lừa đảo qua giọng nói chưa? UNC6040 là một nhóm đe dọa có động cơ chiếm đoạt tài chính chuyên sử dụng hình thức lừa đảo qua giọng nói (vishing) để xâm phạm các phiên bản Salesforce của tổ chức, dẫn đến tình trạng đánh cắp dữ liệu trên quy mô lớn.
Các nhà nghiên cứu nhận định, cơ sở hạ tầng kỹ thuật mà nhóm UNC6040 hướng mục tiêu có chung các đặc điểm là được tổ chức lỏng lẻo, trong khi tin tặc lại chia thành các nhóm nhỏ, riêng biệt để tham gia vào hoạt động tội phạm mạng hoặc đôi khi là bạo lực.
Một phát ngôn viên của Google nói với Reuters rằng, trong quá trình theo dõi vài tháng qua, các chuyên gia đã phát hiện có khoảng 20 tổ chức đã bị ảnh hưởng bởi chiến dịch UNC6040. Người phát ngôn cho biết, một nhóm nhỏ trong số các tổ chức đó đã bị đánh cắp dữ liệu thành công.
Cũng chia sẻ với Reuters, phát ngôn viên của Salesforce cho biết, "không có dấu hiệu nào cho thấy sự cố được mô tả bắt nguồn từ lỗ hổng nào vốn có trong nền tảng của chúng tôi". Các cuộc gọi thoại được sử dụng để lừa nhân viên "là các vụ lừa đảo kỹ thuật xã hội có mục tiêu được thiết kế để khai thác lỗ hổng trong nhận thức về an ninh mạng và các biện pháp thực hành tốt nhất của từng người dùng".
Người phát ngôn từ chối chia sẻ số lượng khách hàng cụ thể bị ảnh hưởng, nhưng cho biết, Salesforce "chỉ biết đến một nhóm nhỏ khách hàng bị ảnh hưởng" và đây "không phải là vấn đề phổ biến".
Salesforce đã cảnh báo khách hàng về các cuộc tấn công lừa đảo qua giọng nói hoặc "vishing" và tin tặc lạm dụng các phiên bản Data Loader đã sửa đổi, có tính độc hại trong bài đăng trên blog vào tháng 3/2025.
Tháng trước, tin tặc đã truy cập và làm rò rỉ 64GB dữ liệu từ một trong những nhà phân phối lớn nhất của Coca-Cola, Coca-Cola Europacific Partners, có trụ sở tại Vương quốc Anh. Người ta nghi ngờ rằng những kẻ tấn công thực sự không xâm phạm hệ thống CNTT của Coca-Cola, mà thay vào đó đã truy cập dữ liệu thông qua tài khoản Salesforce của công ty.
Bình luận