De FBI waarschuwt organisaties en bedrijven voor criminelen die data uit Salesforce-omgevingen stelen, om slachtoffers daar vervolgens mee af te persen (pdf). Volgens de Amerikaanse opsporingsdienst hebben twee verschillende criminele groepen, aangeduid als UNC6395 en UNC6040, het op Salesforce-omgevingen voorzien. Salesforce is een veelgebruikte leverancier van Customer Relationship Management (CRM) software. Via CRM-systemen houden bedrijven allerlei informatie over klanten en potentiële klanten bij.

De groep die door de FBI wordt aangeduid als UNC6040 maakt gebruik van social engineering om toegang tot Salesforce-omgevingen te krijgen. Zo bellen de criminelen de callcenters van de betreffende organisatie en doen zich daarbij voor als it-supportmedewerker. Vervolgens proberen de aanvallers de callcentermedewerker zover te krijgen dat die inloggegevens deelt of acties uitvoert waardoor er toegang tot de Salesforce-omgeving wordt verkregen.

De aanvallers maken daarnaast ook gebruik van phishingsites. Slachtoffers worden tijdens het telefoongesprek gevraagd om de betreffende phishingsite te bezoeken en daar in te loggen. Vervolgens gebruiken de aanvallers API queries om grote hoeveelheden data te stelen, zo staat in de waarschuwing. Verder komt het ook voor dat de aanvallers direct om inloggegevens en multifactorauthenticatie (MFA)-codes vragen voor toegang. Daarna gebruiken ze de Salesforce Data Loader-applicatie om gegevens te stelen. Met deze tool is het mogelijk om data uit Salesforce te exporteren.

De UNC6395-groep is volgens de FBI verantwoordelijk voor de recente grootschalige datadiefstal uit Salesforce-omgevingen, waarbij gebruik werd gemaakt van Salesloft Drift-tokens. Drift is een chatbot van softwarebedrijf Salesloft. Informatie verzameld via Drift kan vervolgens in Salesforce beschikbaar worden gemaakt. De criminelen wisten in te breken bij Salesloft en kregen zo toegang tot de OAuth-tokens, gebruikt voor de Salesforce-koppeling. Zodoende konden de aanvallers toegang tot de Salesforce-omgevingen van Drift-gebruikers krijgen.

De FBI heeft in de waarschuwing verschillende indicators of compromise gegeven, zoals ip-adressen en domeinen die de aanvallers gebruiken. Ook worden organisaties aangeraden om hun callcentermedewerkers te trainen zodat ze phishing herkennen en rapporteren. Verder wordt aangeraden om voor zoveel services als mogelijk phishingbestendige MFA te verplichten en alle third-party integraties met andere software na te lopen.