A hangalapú adathalászat kézikönyvének alapjai: Az UNC6040 Vising Group felemelkedése
Table of Contents
Új szereplő a kiberbűnözés arénájában
Az UNC6040 néven emlegetett kiberbűnözői csoport kiemelkedő erővé vált a társadalmi manipuláció világában. A Google fenyegetésfelderítő csapata által azonosított, pénzügyileg vezérelt szervezet támadásait a Salesforce-t , a népszerű felhőalapú ügyfélkapcsolat-kezelő (CRM) platformot használó vállalatokra összpontosítja. Az UNC6040-et a hangalapú adathalászat – közismert nevén „vishing” – speciális alkalmazása különbözteti meg – egy olyan taktika, amely a telefonos emberi interakciót kihasználva próbálja meg rávenni az alkalmazottakat érzékeny információk kiadására.
Míg a kiberfenyegetések gyakran szoftveres sebezhetőségekre épülnek, az UNC6040 a forgatókönyvet megfordítja, mivel a rendszerek mögött álló embereket veszi célba. A belső informatikai támogatás kiadatásával a csoport ráveszi az alkalmazottakat, hogy akaratlanul is veszélyeztessék saját szervezetüket. Ez a gyakorlatias, hangalapú megközelítés hitelességet ad, különösen a távmunka korában, ahol az alkalmazottak jobban hozzászoktak az ismeretlen támogató személyzettel való beszélgetéshez.
A szociális mérnökség találkozik a Salesforce-szal
Az UNC6040 kampányainak középpontjában egy kidolgozott csel áll, amely a Data Loader nevű Salesforce segédprogramot használja. Ezt az eszközt jellemzően nagy mennyiségű adat importálására és exportálására használják. A támadók módosítják, az alkalmazást olyan nevek alá álcázzák, mint a „My Ticket Portal”, és az áldozatokat a hivatalos Salesforce felületen keresztül vezetik az engedélyezéshez.
A jóváhagyást követően a rosszindulatú alkalmazás hátsó ajtóként működik a szervezet CRM-környezetébe, közvetlen hozzáférést biztosítva az UNC6040 számára az értékes ügyféladatokhoz. A megtévesztés itt nem ér véget. A támadók gyakran ezt a terjeszkedési lehetőséget használják fel, és más belső rendszerekre, például az Oktára, a Microsoft 365-re és a Workplace-re is áttérnek. Ez egy dominóhatás – egy telefonhívással kezdődik, és széles körű adatszivárgással végződik.
Több, mint adatlopás
Az UNC6040 tevékenységének következményei messze túlmutatnak az ellopott adatokon. Egyes esetekben a csoport vagy tagszervezetei hónapokkal később zsarolási követelésekkel tértek vissza, az ellopott információkat eszközként használva. A nyomás fokozása érdekében azt állítják, hogy kapcsolatban állnak a ShinyHunters nevű közismert hackercsoporttal, annak ellenére, hogy a közvetlen kapcsolatot nem erősítették meg.
Ez a késleltetett zsarolási stratégia egy kiszámított megközelítést sugall, esetleg más kiberbűnözőkkel együttműködve. Rávilágít az ilyen incidensek által jelentett hosszú távú kockázatra is. A szervezetek esetleg csak jóval a kezdeti kompromittálás után érzik meg a teljes hatást, így a támadóknak idejük van felfedezni az ellopott adatok értékét és lehetséges felhasználási módjait.
Nem elszigetelt fenyegetés
Az UNC6040 nem vákuumban működik. Taktikájuk átfedésben van más kiberbűnözői csoportokkal, például a Scattered Spiderrel, amely a The Com néven ismert lazán szervezett hálózat része. Ezek a kapcsolatok arra utalnak, hogy a vishing a pénzügyileg motivált kiberbűnözők körében bevett módszerré vált.
Különösen figyelemre méltó, hogy ezek a csoportok hogyan adaptálják a hagyományos adathalász technikákat a modern munkahelyi dinamikához. Mivel sok vállalat távoli informatikai támogatásra és kiszervezett ügyfélszolgálatokra támaszkodik, egy ismeretlen hang jelenléte a telefonban már nem vet fel vészjelzést. A távoli interakciók normalizálódása nagyobb mozgásteret biztosít a támadóknak.
Miért fontos ez most?
A Salesforce, tudatában a növekvő fenyegetésnek, 2025 márciusában figyelmeztetést adott ki , amelyben felhívta ügyfelei figyelmét ezekre a taktikákra. A vállalat szerint nincs bizonyíték platformjuk sebezhetőségére. Ehelyett a támadások az egyes felhasználók kiberbiztonsági ismereteinek hiányán alapulnak. Minden jelentett esetben a támadók társadalmi manipulációt – nem technikai kihasználásokat – használtak a védelem feltörésére.
Ez a fejlemény rávilágít a kiberbiztonsági környezet átalakulására. Ahogy a technológiai platformok megerősítik rendszereiket, a támadók a hangsúlyt a gyengébb célpontokra helyezik át: az emberekre. A hangalapú adathalászat a régi vágású megtévesztést modern eszközökkel ötvözi, bizonyítva, hogy még a high-tech környezetek is sebezhetőek az alacsony technológiai szintű manipulációval szemben.
Hogyan reagálhatnak a szervezetek?
Az UNC6040 szabvány térnyerése minden méretű vállalkozás számára intő jel. Bár a tűzfalak és a vírusvédelmi eszközök továbbra is elengedhetetlenek, nem tudnak védekezni egy meggyőző telefonhívás ellen. Az alkalmazottak képzése ma már a védelem kritikus rétege. A szervezeteknek ki kell képezniük az alkalmazottakat a vészjelzők felismerésére, például a váratlan informatikai kérésekre, a szokatlan alkalmazásengedélyezésekre vagy a gyors cselekvésre kényszerítő nyomásra.
Továbbá a technikai biztosítékok – mint például az alkalmazás-jóváhagyási munkafolyamatok, a többtényezős hitelesítés és a korlátozott hozzáférés-vezérlés – segíthetnek a következmények megfékezésében, ha a társadalmi manipuláció sikeres. A szokatlan alkalmazástevékenységek figyelése és az integrációs engedélyek szigorítása olyan platformokon, mint a Salesforce, ma már kötelező, nem pedig „jó, ha van”.
Lényeg
Az UNC6040 a kiberfenyegetések egy egyre növekvő osztályát képviseli, amelyek inkább a bizalomra és az emberi viselkedésre, mintsem a szoftverhibákra építenek. Kampányai arra emlékeztetnek minket, hogy a kiberbiztonság nem csupán technikai kihívás – hanem emberi is. Ahogy a hangalapú adathalász taktikák egyre kifinomultabbá válnak, a szervezeteknek egyenlő mértékben kell befektetniük a tudatosságba és a technológiába, hogy védekezhessenek ellenük. A felhívás segítségnek hangozhat, de ahogy az UNC6040 is mutatja, valami sokkal károsabbnak a kezdete lehet.
