Google waarschuwt bedrijven en organisaties die met Salesforce werken voor telefonische phishingaanvallen waarbij aanvallers door middel van social engineering Salesforce-data van de onderneming proberen te stelen. Daarna wordt het bedrijf met de gestolen data afgeperst. Volgens Google heeft de groep aanvallers, die het UNC6040 noemt, de afgelopen maanden meerdere succesvolle aanvallen uitgevoerd. Salesforce is een veelgebruikte leverancier van Customer Relationship Management (CRM) software.

Bij de waargenomen aanvallen worden medewerkers van Engelssprekende afdelingen van multinationals gebeld, waarbij de aanvallers zich voordoen als de helpdesk. Vervolgens weten de aanvallers deze medewerkers zover te krijgen om gevoelige inloggegevens te delen of toegang tot Salesforce te verstrekken. Zodra er toegang is verkregen maakt de groep allerlei data buit. "In alle waargenomen gevallen vertrouwden de aanvallers op het manipuleren van eindgebruikers, niet het misbruiken van kwetsbaarheden in Salesforce", aldus Google.

Een veelgebruikte tactiek van de groep is slachtoffers zover te krijgen dat ze een malafide app toegang tot het Salesforce-portaal van hun organisatie geven. Deze malafide applicatie is vaak een aangepaste versie van de Salesforce Data Loader. Tijdens het telefoongesprek met de medewerker wordt die door de aanvallers naar een pagina geleid om de malafide versie van de Data Loader-app goed te keuren. Via de app kunnen de aanvallers allerlei data uit de Salesforce-omgeving stelen.

De verkregen toegang leidt volgens Google niet alleen tot dataverlies, maar dient vaak ook als voorbode voor laterale bewegingen, waarbij de aanvallers andere clouddiensten en interne bedrijfsnetwerken compromitteren. Google stelt dat er de nodige tijd kan zitten tussen een gecompromitteerde Salesforce-omgeving en afpersing door de groep. "Het is mogelijk dat meerdere slachtofferorganisaties en potentiële downstream slachtoffers de komende weken of maanden nog met afpersing te maken krijgen."