Blog de nuage RSS
Suivre
Cybercriminalité observée en première ligne : Recommandations proactives de renforcement de UNC6040
UNC6040 est un groupe de menaces utilisant le hameçonnage vocal pour compromettre Salesforce afin de voler des données et de procéder à des extorsions. Ils se font passer pour le support informatique afin de tromper les employés et de leur faire accorder l'accès ou de partager des identifiants. Une tactique courante consiste à convaincre les utilisateurs d'autoriser une version malveillante et modifiée du Data Loader de Salesforce.Cette application non autorisée permet aux attaquants d'accéder, d'interroger et d'exfiltrer des données sensibles de Salesforce. Les tentatives d'extorsion ont parfois lieu des mois plus tard, les attaquants prétendant être associés à ShinyHunters. UNC6040 cible les utilisateurs disposant d'un accès SaaS élevé, utilisant souvent le VPN Mullvad pour ses opérations.Pour se défendre contre ces attaques, les organisations doivent mettre en œuvre une vérification d'identité robuste et multicouche pour les demandes de support. Cela comprend la vérification vidéo en direct et la vérification hors bande pour les modifications à haut risque. Pour les demandes de fournisseurs tiers, les services d'assistance doivent vérifier indépendamment le fournisseur par le biais d'informations de contact fiables.Les utilisateurs finaux doivent être formés pour vérifier rigoureusement toute demande de tiers et signaler les communications suspectes. Les organisations doivent appliquer des contrôles de sécurité d'identité unifiés par le biais de fournisseurs d'identité centraux tels qu'Entra ID ou Okta. Cela comprend la mise en œuvre d'une authentification multifacteur résistante au hameçonnage et de politiques de confiance des appareils.L'authentification unique (SSO) doit être obligatoire pour tout accès aux applications SaaS, les comptes natifs de la plateforme étant réservés aux scénarios d'urgence de type "verre brisé". L'authentification multifacteur résistante au hameçonnage, telle que les clés FIDO2, est cruciale pour tous les utilisateurs accédant aux applications SaaS. Les vérifications de conformité des appareils garantissent que seuls les appareils sécurisés peuvent accéder aux applications de l'entreprise.