Наблюдения за киберпреступност... Заметка
RSS Блог об облаках

Наблюдения за киберпреступностью с передовой: Рекомендации UNC6040 по проактивному усилению защиты

UNC6040 — это группа угроз, использующая фишинг через голосовые звонки для компрометации Salesforce с целью кражи данных и вымогательства. Они выдают себя за сотрудников IT-поддержки, чтобы обманом заставить сотрудников предоставить доступ или поделиться учетными данными. Распространенная тактика включает убеждение пользователей в необходимости авторизовать вредоносную, измененную версию Data Loader от Salesforce.Это неавторизованное приложение позволяет злоумышленникам получать доступ, запрашивать и извлекать конфиденциальные данные Salesforce. Попытки вымогательства иногда происходят спустя месяцы, когда злоумышленники заявляют о своей связи с ShinyHunters. UNC6040 нацеливается на пользователей с повышенным доступом к SaaS, часто используя Mullvad VPN для своих операций.Для защиты от этих атак организации должны внедрить надежную многоуровневую проверку личности для запросов поддержки. Это включает проверку в реальном времени с помощью видео и внеполосную проверку для изменений с высоким риском. Для запросов от сторонних поставщиков службы поддержки должны самостоятельно проверять поставщика через доверенную контактную информацию.Конечные пользователи должны быть обучены тщательно проверять любые запросы от третьих лиц и сообщать о подозрительных сообщениях. Организации должны обеспечить унифицированные средства контроля безопасности идентификации через централизованных поставщиков идентификации, таких как Entra ID или Okta. Это включает внедрение устойчивой к фишингу многофакторной аутентификации и политик доверия к устройствам.Единый вход (SSO) должен быть обязательным для доступа ко всем приложениям SaaS, а учетные записи на платформе должны использоваться только в экстренных случаях. Устойчивая к фишингу многофакторная аутентификация, такая как ключи FIDO2, имеет решающее значение для всех пользователей, получающих доступ к приложениям SaaS. Проверки соответствия устройств гарантируют, что только безопасные устройства могут получить доступ к корпоративным приложениям.
CdXz5zHNQW_i3M3Pp434Y.png