Northwave signaleert toename social engineering-aanvallen op Salesforce

Northwave Cyber Security, een onafhankelijke Nederlandse specialist in cybersecurity, signaleert een flinke toename van social engineering-aanvallen op de Salesforce CRM-applicatie. Northwaves incident response- en inlichtingenteams zien dat verschillende organisaties geraakt worden door deze aanvallen. Het is daarom zaak dat bedrijven die gebruikmaken van deze en andere SaaS-applicaties met veel gevoelige gegevens passende securitymaatregelen nemen.

Northwave meldt dat de aanvallers geavanceerde social engineering-aanvallen gebruiken. Hackers doen zich voor als de IT-servicedesk en zijn in staat om inloggegevens en MFA-sleutels te verkrijgen om initiële toegang te krijgen. Met deze accounts krijgen ze toegang tot de Salesforce-omgeving. Bij dit soort aanvallen is de tijd tussen de initiële toegang en het stelen van de gegevens erg kort. Dit betekent dat er zelfs bij een zeer snelle detectie van de aanvallers, toch gegevensuitwisseling kan plaatsvinden.

Nadat aanvallers toegang hebben gekregen, installeren ze een plug-in voor het wegnemen van gegevens, die de API van Salesforce gebruikt om gegevens te weg te nemen. Ze doen dit op zo’n manier dat de API-aanroepen beperkte gegevens per verzoek opvragen, om geen snelheidslimieten of waarschuwingen te activeren. Deze werkwijze wordt hier nader toegelicht. Er kunnen verschillende, nauw verwante methoden worden gebruikt, maar gebruiken allemaal kwaadaardige plug-ins of apps om de gegevens heimelijk afhandig te maken.

Wat moeten bedrijven die Salesforce CRM gebruiken direct doen:
• Controleer en valideer alle apps die met Salesforce zijn verbonden. Omdat het niet duidelijk is hoe lang deze aanvallers al actief zijn, is het belangrijk om te controleren of er mogelijk al ongeautoriseerde apps zijn geïnstalleerd. Op deze pagina wordt uitgelegd hoe je dit kan doen [2].
• Beperk de rechten van gebruikers om plug-ins of apps voor Salesforce te installeren drastisch. Dit is een recht dat alleen beheerders hebben.
• Implementeer een app-allowlist om alleen goedgekeurde apps toe te staan.
• Informeer alle medewerkers over deze aanval en leg uit wat ze moeten doen:
o Als je wordt gebeld door de IT-helpdesk, zeg dan dat je terugbelt naar het bekende nummer van de organisatie. Zeg ook dat ze dit daadwerkelijk moeten doen, want dan kan dit ook dienen als incidentmelding.
o Leg uit dat de IT-helpdesk nooit:
 Om wachtwoorden vraagt of vraagt om deze in te voeren
 Om MFA-codes vraagt of vraagt om deze in te voeren
 Vraagt om specifieke apps of plug-ins te installeren

Welke maatregelen moeten doorgevoerd worden?
• Zorg ervoor dat Salesforce alleen toegankelijk is via een vertrouwd netwerk (bijvoorbeeld via een VPN of IP-whitelisting)
• Implementeer logging en monitoring die controleert op:
o Grote hoeveelheden queries
o Exports van rapporten of CSV-bestanden
o Inlogpogingen vanaf onbekende locaties
• Werk trainingen en onboarding-procedures bij om dit type aanval specifiek uit te leggen, vooral aan medewerkers die met Salesforce werken.

Christiaan Ottow, Chief Technology Officer bij Northwave Cyber Security: “Op de langere termijn is het belangrijk dat bedrijven anders nadenken over toegang tot persoonsgegevens door individuele medewerkers. Dezelfde uitdaging zien we op andere manieren bij ziekenhuizen in het raadplegen van dossiers van BN’ers, of bij de politie in het raadplegen van spraakmakende onderzoeken. Hoe zorg je dat een klantenservice-medewerker wel zijn of haar werk kan doen, maar niet zomaar alle gegevens van alle klanten kan opvragen? Daarnaast laat deze situatie met Salesforce CRM duidelijk zien dat cybersecurity niet alleen om technologie draait, maar ook om bewustzijn van alle medewerkers. Het herkennen en bestrijden van social engineering beschermt niet alleen systemen, maar ook de mensen erachter.”