Aanvallers richten zich steeds vaker op Salesforce CRM-omgevingen via geavanceerde social engineering. Hackers doen zich voor als IT-servicedesks om inloggegevens en MFA-codes te verkrijgen. Daarna installeren ze plug-ins om klantgegevens af te tappen via de Salesforce-API. Cybersecurityspecialist Northwave signaleert een toename van social engineering-aanvallen gericht op Salesforce CRM-omgevingen. Volgens het bedrijf worden verschillende organisaties getroffen door deze aanvalsmethode.
De hackers doen zich voor als IT-servicedesk-medewerkers en weten zo inloggegevens en MFA-sleutels te bemachtigen. Met deze toegang kunnen ze de Salesforce-omgeving binnendringen. Northwave stelt dat de tijd tussen initiële toegang en datagdiefstal zeer kort is, waardoor zelfs bij snelle detectie al gegevensuitwisseling kan plaatsvinden.
Eenmaal binnen installeren aanvallers volgens Northwave een plug-in die de Salesforce-API misbruikt voor gegevensdiefstal. Ze voeren API-aanroepen uit die beperkte gegevens per verzoek opvragen, om snelheidslimieten en waarschuwingen te vermijden.
Direct te nemen maatregelen
Organisaties die Salesforce gebruiken moeten volgens Northwave alle verbonden apps controleren en valideren. Het is onduidelijk hoe lang aanvallers al actief zijn, waardoor er mogelijk al ongeautoriseerde apps geïnstalleerd kunnen zijn.
Daarnaast raadt het bedrijf aan om de rechten voor het installeren van plug-ins of apps drastisch te beperken tot alleen beheerders. Het implementeren van een app-allowlist voor goedgekeurde applicaties wordt eveneens aanbevolen.
Medewerkers moeten geïnformeerd worden over deze aanvalsmethode. Bij telefonisch contact met de vermeende IT-helpdesk moeten zij terugbellen naar het bekende organisatienummer. De echte IT-helpdesk vraagt volgens Northwave nooit om wachtwoorden, MFA-codes of het installeren van specifieke apps.
Langetermijnmaatregelen
Voor betere beveiliging adviseert Northwave om Salesforce alleen toegankelijk te maken via vertrouwde netwerken, zoals VPN of IP-whitelisting. Monitoring op grote hoeveelheden queries, rapportexports en inlogpogingen vanaf onbekende locaties is essentieel.
CTO Christiaan Ottow van Northwave benadrukt dat bedrijven anders moeten nadenken over toegang tot persoonsgegevens door individuele medewerkers. Hij stelt dat deze situatie laat zien hoe cybersecurity draait om zowel technologie als medewerkersbewustzijn.
