En massiv bølge av sofistikerte cyberangrep retter seg mot selskaper som bruker Salesforce – og teknologigiganten Google har nå bekreftet at også de har blitt rammet.
Store merkevarer berørt
Internasjonale selskaper som Dior, Allianz, Adidas, Chanel, Pandora, Qantas, Air France og KLM har vært ofre. Nå har Google også avslørt at en av deres Salesforce-databaser, med kontaktinformasjon for små og mellomstore bedrifter, ble kompromittert i juni 2025.
En voksende trussel: UNC6040 og sosial manipulering i fokus
Googles trusselintelligensgruppe (GTIG) har identifisert hackergruppen som UNC6040. De bruker en avansert form for sosial manipulering der ansatte ringer og later som de er IT-supportere (stemmefisking eller “vishing»“Under samtalen blir de lurt til å installere en falsk versjon av Salesforce Data Loader via en apptilkobling, noe som gir angripere omfattende tilgang til begge deler Salesforce og andre skytjenester som f.eks. Octa og Microsoft 365.
Angrepenes infrastruktur deler kjennetegn med det løst organiserte nettkriminelle nettverket.“Kom“.».
Datautpressing og datatrussel
Google rapporterer at rundt 20 organisasjoner har blitt berørt, og i flere tilfeller har data blitt stjålet. I noen brudd har data blitt hentet ut i små mengder før aktivaet ble revet – i andre tilfeller har hele databasetabeller blitt lastet ned.
I noen tilfeller har ikke utpressingene begynt før flere måneder etter innbruddet – ofte med aktører som hevder å representere den beryktede gruppen. SkinnendeJegere, noe som øker skyldbyrden på offeret.
Google og Salesforce svarer
Google har hastet med å analysere og begrense tilgangen til databasen og finner ut at bare offentlig tilgjengelig selskapsinformasjon ble stjålet, for eksempel navn og kontaktinformasjon – men ingen sensitive data.
Salesforce understreker at angrepet ikke skjedde gjennom sårbarheter i plattformen deres, men gjennom målrettet manipulering av brukere. De påpeker at bare et begrenset antall kunder ble berørt og fraråder selskaper å installere ukjente tilkoblede apper eller legge inn koder uten verifisering.
Anbefalinger fra sikkerhetseksperter – hva bør organisasjoner gjøre?
Å motstå denne formen for angrep oppfordrer eksperter til en kombinasjon av opplæring, tekniske tiltak og regelmessig overvåking:
| Måle | Beskrivelse |
|---|---|
| Opplæring og bevisstgjøring | Lær opp ansatte om risikoen ved vishing og tilkoblede apper – spesielt Salesforce-administratorer. |
| Begrensede apptillatelser | Tildel “API-aktivert” og tillatelser til å legge til tilkoblede apper kun til nødvendige og pålitelige administratorer. |
| Hviteliste og tilkoblingskontroll | Implementer prosesser for godkjenning, tillatelseslisting og overvåking av tilkoblede tredjepartsapplikasjoner. |
| IP- og MFA-beskyttelse | Implementer IP-begrensninger, blokker tilgang via kommersielle VPN-er (f.eks. Mullvad), og krev flerfaktorautentisering (MFA). |
| Overvåking og automatisk respons | Bruk Salesforce Shield til å oppdage uvanlige nedlastinger, opprette transaksjonsbaserte sikkerhetspolicyer og gjennomgå logger for avvik. |








