Een enorme golf van geavanceerde cyberaanvallen is gericht op bedrijven die Salesforce – en de techgigant Google hebben inmiddels bevestigd dat ook zij getroffen zijn.
Grote merken getroffen
Internationale bedrijven die Dior, Allianz, Adidas, Chanel, Pandora, Qantas, Air France en KLM zijn slachtoffer geworden. Nu heeft Google ook onthuld dat een van hun Salesforce-databases, met contactgegevens van kleine en middelgrote bedrijven, werd in juni 2025 gecompromitteerd.
Een groeiende dreiging: UNC6040 en social engineering in de schijnwerpers
Google Threat Intelligence Group (GTIG) heeft de hackersgroep geïdentificeerd als UNC6040. Ze maken gebruik van een geavanceerde vorm van social engineering waarbij medewerkers bellen en zich voordoen als IT-ondersteuning (stemphishing of 'vishing'“Tijdens het gesprek worden ze ertoe verleid een nepversie van Salesforce-gegevenslader via een app-verbinding, waardoor aanvallers uitgebreide toegang krijgen tot beide Salesforce en andere clouddiensten zoals Octa en Microsoft 365.
De infrastructuur van de aanvallen vertoont overeenkomsten met het losjes georganiseerde cybercriminele netwerk.“De Com“.
Data-exfiltratie en afpersing
Google meldt dat ongeveer 20 organisaties zijn getroffen en dat in verschillende gevallen gegevens zijn geëxfiltreerd. Bij sommige inbreuken zijn kleine hoeveelheden gegevens geëxtraheerd voordat de activa werden vernietigd – in andere gevallen zijn volledige databasetabellen gedownload.
In sommige gevallen beginnen de afpersingen pas enkele maanden na de inbreuk, vaak door actoren die beweren de beruchte groep te vertegenwoordigen. ShinyHunters, waardoor de schuldlast bij het slachtoffer groter wordt.
Google en Salesforce reageren
Google heeft de database snel geanalyseerd en de toegang ertoe beperkt. Daaruit is gebleken dat alleen openbaar beschikbare bedrijfsinformatie is gestolen, zoals namen en contactgegevens, maar geen gevoelige gegevens.
Salesforce benadrukt dat de aanval niet plaatsvond via kwetsbaarheden in hun platform, maar door gerichte manipulatie van gebruikers. Ze wijzen erop dat slechts een beperkt aantal klanten getroffen is en raden bedrijven af om onbekende, verbonden apps te installeren of codes in te voeren zonder verificatie.
Aanbevelingen van beveiligingsexperts: wat moeten organisaties doen?
Om deze vorm van aanval dringt aan bij experts een combinatie van training, technische maatregelen en regelmatige monitoring:
| Meeteenheid | Beschrijving |
|---|---|
| Onderwijs en bewustwording | Informeer medewerkers over de risico's van vishing en verbonden apps, met name Salesforce-beheerders. |
| Beperkte app-machtigingen | Wijs 'API ingeschakeld' en machtigingen om verbonden apps toe te voegen alleen toe aan noodzakelijke en vertrouwde beheerders. |
| Witte lijst en verbindingscontrole | Implementeer processen voor goedkeuring, toelatingslijsten en monitoring van verbonden toepassingen van derden. |
| IP- en MFA-bescherming | Voer IP-beperkingen in, blokkeer toegang via commerciële VPN's (bijv. Mullvad) en eis multi-factor-authenticatie (MFA). |
| Monitoring en automatische reactie | Met Salesforce Shield kunt u ongebruikelijke downloads detecteren, beveiligingsbeleid op basis van transacties maken en logboeken controleren op afwijkingen. |








