Eine massive Welle ausgeklügelter Cyberangriffe zielt auf Unternehmen ab, die Salesforce – und der Technologiegigant Google haben nun bestätigt, dass auch sie betroffen sind.
Große Marken betroffen
Internationale Unternehmen, die Dior, Allianz, Adidas, Chanel, Pandora, Qantas, Air France und KLM sind Opfer geworden.. Nun hat Google auch bekannt gegeben, dass eines ihrer Salesforce-Datenbanken, Eine Datenbank mit Kontaktinformationen für kleine und mittlere Unternehmen wurde im Juni 2025 kompromittiert.
Eine wachsende Bedrohung: UNC6040 und Social Engineering im Fokus
Google Threat Intelligence Group (GTIG) hat die Hackergruppe identifiziert als UNC6040. Sie nutzen eine hochentwickelte Form des Social Engineering, bei der Mitarbeiter anrufen und sich als IT-Support ausgeben (Voice-Phishing oder “Vishing““Während des Anrufs werden sie dazu verleitet, eine gefälschte Version von Salesforce Data Loader über eine App-Verbindung, wodurch Angreifer umfassenden Zugriff auf beides erhalten. Salesforce und andere Cloud-Dienste wie Octa und Microsoft 365.
Die Infrastruktur der Angriffe weist Ähnlichkeiten mit dem lose organisierten Netzwerk von Cyberkriminellen auf.“The Com“.
Datenexfiltration und Erpressung
Google Berichten zufolge sind rund 20 Organisationen betroffen, und in mehreren Fällen wurden Daten abgeflossen. Bei einigen Sicherheitsvorfällen wurden nur geringe Datenmengen extrahiert, bevor die Systeme zerstört wurden – in anderen Fällen wurden ganze Datenbanktabellen heruntergeladen.
In einigen Fällen begannen die Erpressungen erst mehrere Monate nach dem Datenleck – oft mit Akteuren, die vorgaben, die berüchtigte Gruppe zu vertreten. ShinyHunters, was die Schuldzuweisung an das Opfer erhöht.
Google und Salesforce antworten
Google hat die Datenbank umgehend analysiert und den Zugriff darauf eingeschränkt. Dabei stellte sich heraus, dass lediglich öffentlich zugängliche Unternehmensinformationen wie Namen und Kontaktdaten gestohlen wurden – jedoch keine sensiblen Daten.
Salesforce Sie betonen, dass der Angriff nicht durch Sicherheitslücken in ihrer Plattform, sondern durch gezielte Manipulation von Nutzern erfolgte. Sie weisen darauf hin, dass nur eine begrenzte Anzahl von Kunden betroffen war und raten Unternehmen dringend davon ab, unbekannte Apps zu installieren oder Codes ohne Überprüfung einzugeben.
Empfehlungen von Sicherheitsexperten – was sollten Organisationen tun?
Um dieser Form von Experten warnen vor Angriffen auf eine Kombination aus Schulung, technischen Maßnahmen und regelmäßiger Überwachung:
| Messen | Beschreibung |
|---|---|
| Bildung und Sensibilisierung | Sensibilisieren Sie Ihre Mitarbeiter für die Risiken von Vishing und damit verbundenen Apps – insbesondere Salesforce-Administratoren. |
| Beschränkte App-Berechtigungen | Weisen Sie die Berechtigung “API aktiviert” und die Berechtigung zum Hinzufügen verbundener Apps nur den erforderlichen und vertrauenswürdigen Administratoren zu. |
| Whitelist- und Verbindungssteuerung | Implementieren Sie Prozesse zur Genehmigung, Zulassung und Überwachung verbundener Drittanbieteranwendungen. |
| IP- und MFA-Schutz | Implementieren Sie IP-Beschränkungen, blockieren Sie den Zugriff über kommerzielle VPNs (z. B. Mullvad) und fordern Sie eine Multi-Faktor-Authentifizierung (MFA) an. |
| Überwachung und automatische Reaktion | Mit Salesforce Shield können Sie ungewöhnliche Downloads erkennen, transaktionsbasierte Sicherheitsrichtlinien erstellen und Protokolle auf Anomalien überprüfen. |
Swedish
English
German
Dutch