"Негайно повісьте слухавку": Google попередила власників смартфонів про небезпечну загрозу

Експерти з команди Google Threat Intelligence Group розповіли про загрозу і способи захисту від неї у своєму звіті.

За останні кілька місяців кластер, якому присвоїли назву UNC6040, неодноразово зламував користувачів. Зловмисники телефонують, представляються співробітниками IT-підтримки і використовують методи соціальної інженерії, а простіше кажучи — маніпуляції.

У підсумку вони змушують користувачів встановлювати підроблену версію програми Salesforce. Під час дзвінка злочинець спрямовує жертву на сторінку налаштування пов'язаного застосунку Salesforce, щоб схвалити версію застосунку Data Loader з ім'ям або брендом, які відрізняються від легальної версії.

Salesforce — хмарна платформа, яка використовується для роботи з клієнтами. Вона допомагає автоматизувати і спростити багато завдань, пов'язаних із продажами, обслуговуванням, маркетингом, аналітикою та зв'язками з клієнтами.

Data Loader — це додаток, розроблений Salesforce, призначений для ефективного імпорту, експорту та оновлення великих обсягів даних на платформі Salesforce. Він пропонує як користувальницький інтерфейс, так і компонент командного рядка, причому останній забезпечує широкі можливості налаштування та автоматизації.

Додаток підтримує OAuth і дає змогу здійснювати пряму інтеграцію "застосунків" через функціональність "підключених застосунків" у Salesforce. Зловмисники зловживають цим, переконуючи жертву телефоном відкрити сторінку налаштування підключення Salesforce і ввести "код підключення", у такий спосіб пов'язуючи контрольований зловмисником Data Loader із середовищем жертви.

Як правило, вірусна програма завантажує в систему ПЗ, яке дає змогу хакерам отримати доступ до конфіденційних даних і баз авторизованої Salesforce, потім відправляє їх у хмарні сховища. Через деякий час, зазвичай кілька місяців, та сама або інша група вимагає гроші в обмін на вкрадену інформацію. Злочинці заявляють про свою приналежність до відомої хакерської групи ShinyHunters, ймовірно, як метод посилення тиску на своїх жертв.

За інформацією Google, жертвами зловмисників стали люди зі США та Європи, які працюють у сфері готельного бізнесу, роздрібної торгівлі та освіти. Примітно, що під час атаки вразливості ПЗ не використовуються, і хакери не можуть зламати користувачів, якщо останні самі їм не допоможуть.

Експерти з кібербезпеки Google рекомендують організаціям розглянути такі кроки для зниження ризику атаки UNC6040:

• дотримуватися принципу найменших привілеїв для співробітників;
• суворо керувати доступом до підключених додатків;
• забезпечити дотримання обмежень доступу на основі IP-адрес;
• використовувати розширений моніторинг безпеки та застосування політик за допомогою Salesforce Shield;
• усюди впровадити багатофакторну аутентифікацію.

"Не відповідайте на дзвінки з невідомих номерів. Якщо ви відповіли на такий дзвінок, негайно повісьте слухавку", — радить Федеральна комісія зі зв'язку США. Важливо не відповідати на запитання і не повідомляти особисту інформацію.

Раніше писали, як працює телефонний і SMS-спам в Україні. Зловмисники можуть купувати бази номерів телефону в даркнеті, де вказані контакти, які українці надають під час оплати товарів і послуг.