En massiv bølge af sofistikerede cyberangreb er rettet mod virksomheder, der bruger Salesforce – og tech-giganten Google har nu bekræftet, at de også er blevet berørt.
Store mærker berørt
Internationale virksomheder, der Dior, Allianz, Adidas, Chanel, Pandora, Qantas, Air France og KLM har været ofre. Nu har Google også afsløret, at en af deres Salesforce-databaser, med kontaktoplysninger til små og mellemstore virksomheder, blev kompromitteret i juni 2025.
En voksende trussel: UNC6040 og social engineering i fokus
Google Threat Intelligence Group (GTIG) har identificeret hackergruppen som UNC6040. De bruger en avanceret form for social engineering, hvor medarbejdere ringer og lader som om, de er IT-supportere (stemmephishing eller "vishing"“Under opkaldet bliver de narret til at installere en falsk version af Salesforce Data Loader via en app-forbindelse, hvilket giver angribere omfattende adgang til begge dele Salesforce og andre cloud-tjenester som f.eks. Octa og Microsoft 365. 
Angrebenes infrastruktur deler karakteristika med det løst organiserede cyberkriminelle netværk.“Kom“.
Dataudpresning og afpresning
Google rapporterer, at omkring 20 organisationer er blevet berørt, og i flere tilfælde er data blevet stjålet. I nogle brud er data blevet udtrukket i små mængder, før aktivet blev ødelagt – i andre tilfælde er hele databasetabeller blevet downloadet.
I nogle tilfælde er afpresningen først begyndt flere måneder efter bruddet – ofte med aktører, der hævder at repræsentere den berygtede gruppe. ShinyHunters, hvilket øger skyldbyrden hos offeret.
Google og Salesforce reagerer
Google har skyndt sig at analysere og begrænse adgangen til databasen og finder ud af, at kun offentligt tilgængelige virksomhedsoplysninger blev stjålet, såsom navne og kontaktoplysninger – men ingen følsomme data.
Salesforce understreger, at angrebet ikke skete gennem sårbarheder i deres platform, men gennem målrettet manipulation af brugerne. De påpeger, at kun et begrænset antal kunder var berørt, og fraråder virksomheder at installere ukendte forbundne apps eller indtaste koder uden verifikation.
Sikkerhedseksperters anbefalinger – hvad bør organisationer gøre?
At modstå denne form for angreb opfordrer eksperter til en kombination af træning, tekniske foranstaltninger og regelmæssig overvågning:
| Måle | Beskrivelse |
|---|---|
| Uddannelse og bevidstgørelse | Uddan medarbejderne om risiciene ved vishing og forbundne apps – især Salesforce-administratorer. |
| Begrænsede apptilladelser | Tildel "API-aktiveret" og tilladelser til at tilføje forbundne apps kun til nødvendige og betroede administratorer. |
| Hvidliste og forbindelseskontrol | Implementer processer for godkendelse, tilladelsesliste og overvågning af tilknyttede tredjepartsapplikationer. |
| IP- og MFA-beskyttelse | Implementer IP-begrænsninger, bloker adgang via kommercielle VPN'er (f.eks. Mullvad), og kræv multifaktor-godkendelse (MFA). |
| Overvågning og automatisk respons | Brug Salesforce Shield til at registrere usædvanlige downloads, oprette transaktionsbaserede sikkerhedspolitikker og gennemgå logfiler for uregelmæssigheder. |
Swedish 
Danish 
Norwegian 
Finnish 
English 
German 
Dutch