Eine kriminelle Gruppe nutzt aktuell eine raffinierte Methode: Voice‑Phishing, auch „Vishing" genannt. Dabei geben sich die Betrüger als IT‑Support aus und rufen Mitarbeiter:innen an. Ziel: Zugriff auf das Salesforce-Konto bekommen. Anschließend stehlen sie Daten und erpressen Firmen. Betroffen sind vor allem große, internationale Unternehmen mit Salesforce‑Nutzung.

1. Wie läuft der Angriff ab?

1. Die Angreifer rufen per Telefon an und geben vor, aus dem IT‑Support zu kommen.
2. Sie sagen, es gäbe Probleme mit Salesforce und fordern, eine „nützliche App" zu installieren.
3. Sie führen das Opfer zu einer manipulierten Plattform, meist über Okta‑Phishing, um Anmeldedaten und MFA‑Codes abzugreifen.
4. Das Opfer installiert eine bösartige Version der Salesforce‑Data‑Loader‑App.
5. Damit greifen die Täter auf die Daten zu und laden sie herunter – oft unbemerkt.

Langfristig laden sie Datenmengen herunter – teilweise erst nach Monaten – und nutzen diese zur Erpressung. Dabei behaupten sie, zu Gruppen wie „ShinyHunters" zu gehören, um Druck aufzubauen.

2. Warum funktioniert das?

• Es wird keine technische Lücke in Salesforce ausgenutzt, sondern Social Engineering, also gezielte Täuschung via Telefon.
• Die Opfer werden durch die vermeintliche Autorität des IT-Supports getäuscht.
• Die Angreifer locken mit vertrauten Tools und dem Eindruck, ein echtes Sicherheitsupdate vornehmen zu müssen.

3. Was steckt hinter UNC6040?

Eine von Google identifizierte Gruppe, genannt UNC6040, die:

• ihren Fokus auf Salesforce legt
• gezielt englischsprachige Mitarbeiter:innen angreift
• Daten systematisch stiehlt und später erpresst
• möglicherweise mit anderen Cyberkriminellen zusammenarbeitet
• das Diebesgut monetarisiert, indem sie Lösegeld fordert

Sie arbeiten sehr geschickt: Jedes Opfer wird tagelang „bearbeitet", erst dann erfolgt ein gezielter Datenabzug.

4. Welche Daten werden gestohlen?

• Nutzerkonten, Kundendaten, Geschäftsunterlagen aus Salesforce
• Zugriffsdaten wie Passwörter, MFA‑Codes
• Teilweise später auch Zugangsdaten zu Okta oder Microsoft 365
• Ziel: vertrauliche Informationen, die sich zur Erpressung eignen

Teilweise werden erst kleine Datenpakete entwendet, um später große Datenmengen zu exfiltrieren.

5. Wie schützt man sich?

Zur Abwehr empfiehlt Google / Salesforce folgende Maßnahmen:

a) Prinzip der minimalen Rechte

• Erlauben Sie den Zugriff nur denen, die ihn wirklich brauchen.
• Reduzieren Sie Benutzerberechtigungen für Linked Apps wie Data Loader.

b) Kontrolle für Connected Apps

• Erlauben Sie neue Apps nur wenigen, vertrauenswürdigen Admins.
• Führen Sie eine Whitelist mit erlaubten Apps.

c) IP‑Zugriffsregeln

• Beschränken Sie Logins auf bestimmte IP‑Bereiche, z. B. eigene VPNs.
• Blockieren Sie Zugriffe außerhalb des Unternehmensnetzwerks.

d) Salesforce Shield & Monitoring

• Nutzen Sie Funktionen wie Event‑Monitoring oder Transaktions‑Sicherheit.
• Lassen Sie ungewöhnliche Aktivitäten automatisch alarmieren.

e) Multi‑Factor‑Authentication (MFA)

• Aktivieren Sie MFA für alle Nutzer:innen verpflichtend.
• Schulen Sie Ihr Team, MFA-Codes kritisch zu behandeln

6. Warum ist das besonders wichtig?

• Die Angriffe erfolgen gezielt und mit hoher Taktik – sie zielen auf Mitarbeiter des IT-Supports, die Zugriffsrechte besitzen.
• Richtig eingesetzt, kann sich die Attacke über Monate hinziehen, ohne entdeckt zu werden.
• Damit steigt das Risiko ernsthafter Geschäftsschäden und Reputationsverluste.
• Nur mit dem Zusammenspiel von Technik, Prozessen und Schulung lassen sich solche Angriffe effektiv abwehren.

7. Praxis-Tipps für Sie

• Regelmäßige Schulungen für Mitarbeiter:innen zum Thema Vishing und Social Engineering.
• Sicherheitsrichtlinien festlegen, die festlegen, wer Apps installieren darf.
• Technische Kontrollen implementieren: IP-Sperren, Monitoring, Whitelists.
• Notfallplan erstellen: Vorgehen bei Datenabzug und Erpressung klar definieren.
• Audits durchführen: Prüfen Sie gelegentlich, welche Apps in Salesforce genutzt werden.

8. Häufige Fragen (FAQ)

Sind Salesforce-Anwendungen unsicher?
Nein – die Plattform ist sicher. Gefährlich sind menschliche Fehler durch gezielte Täuschung.

Hilft MFA wirklich?
Ja – auch wenn MFA-Codes abgefragt werden, macht das Benutzer:innen sensibler – und technisch sind manche Grenzen gesetzt.

Kann man verlorene Daten zurückholen?
Nein. Deshalb ist präventiver Schutz entscheidend.

Wie erkennt man Vishing?
Telefonanrufe mit dringlichem Sicherheitsbedarf sind oft verdächtig. Klären Sie das im Zweifelsfall per Rückruf übers offizielle IT‑Service‑Desk.

9. Schutz durch Wachsamkeit & Technik

• Eine spezialisierte Gruppe greift Unternehmen via Telefon-Phishing an – unter dem Deckmantel von „IT-Support".
• Ziel: Diebstahl über manipulierte Apps (bösartige Data Loader Versionen), später Erpressung.
• Abwehrmittel:
  • Reduzierte Rechtevergabe
  • Strikte App-Kontrolle
  • IP-Zugangsbeschränkungen
  • Monitoring (Salesforce Shield)
  • Verpflichtendes MFA
  • Schulung Ihrer Mitarbeitenden
  • 
    

Gemeinsam sorgen diese Maßnahmen dafür, dass Sie Ihr Unternehmen nachhaltig und effektiv vor solchen Angriffen schützen.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz