Nowe realia cyberzagrożeń w Salesforce

23 lipca, 2025

Nowe realia cyberzagrożeń: przestępcy zmieniają taktykę i celują nie tylko w administratorów, ale również w nowo zatrudnione osoby, które rzadziej przechodzą zaawansowane szkolenia i mogą nieświadomie przekazać dane logowania. Zmodyfikowana wersja narzędzia Data Loader – podszywająca się pod oficjalną aplikację Salesforce – pozwoliła grupie UNC6040 wykradać rekordy i wymuszać okupy na firmach z Europy i obu Ameryk. W świetle rosnącego zagrożenia vishingiem i phishingiem, kluczowe staje się nie tylko posiadanie narzędzi zabezpieczających, ale też edukacja każdego użytkownika platformy. Czy Twoja organizacja jest gotowa na nowe wyzwania?

Innowacyjne metody oszustów – ataki socjotechniczne w Salesforce

Przestępcy coraz częściej wykorzystują socjotechnikę, atakując pracowników na wszystkich szczeblach organizacji. Nie tylko doświadczeni administratorzy Salesforce są celem zagranicznych grup, ale też świeżo zatrudnione osoby, które mogą nie zdawać sobie sprawy z procedur bezpieczeństwa. W kampanii UNC6040 wykorzystano telefoniczne rozmowy, w trakcie których oszuści weryfikowali tożsamość ofiary, budując fałszywe poczucie zaufania. Następnie instruowali je, jak dodać „connected app” imitującą Data Loader, co dawało hakerom pełne uprawnienia do odpytywania i eksportu rekordów. Taka metoda ataku omija tradycyjne zabezpieczenia, ponieważ to użytkownik osobiście autoryzuje instalację. Ataki tego typu są skuteczne, bo wykorzystują naturalną skłonność do ufności i rutynowego wykonywania poleceń. Dla wielu firm pierwszym sygnałem nieprawidłowości było zwiększone zużycie zasobów chmurowych lub pojawienie się nietypowych zapytań SQL. Warto pamiętać, że każdy login i hasło może być celem manipulacji – nie tylko konta uprzywilejowanych administratorów.

Jak przebiegała kampania UNC6040

Google Threat Intelligence Group określiło sprawców jako UNC6040, wskazując, że dotknęli około 20 organizacji z Europy i obu Ameryk. Ataki obserwowano przez kilka miesięcy, a w niektórych przypadkach udało się wyekstrahować ogromne ilości tabeli rekordów zanim administratorzy wykryli nieprawidłowość. Scenariusz zawsze wyglądał podobnie: vishing, link do fałszywej strony instalacji connected app, a następnie ciche eksfiltracje danych. Hakerzy potrafili również poruszać się lateralnie po sieci klienta, zdobywając dostęp do innych systemów chmurowych i wewnętrznych zasobów. Część infrastruktury technicznej ataku wykazywała powiązania z ekosystemem „The Com”, znanym z luźnych, lecz skutecznych grup cyberprzestępczych. Co istotne, w wielu przypadkach nie zastosowano okupu od razu – najpierw prowadzono testowe zapytania, by upewnić się, że mechanizmy detekcji pozostają uśpione. Dopiero potem atakujący zaczynali żądania finansowe, wykorzystując wykradzione dane do wymuszenia okupu. Taka sekwencja działań pokazuje, że przestępcy potrafią cierpliwie planować cele i dostosowywać techniki do poziomu zabezpieczeń każdej organizacji.

Wewnętrzny monitoring Salesforce i szybkie alerty

Salesforce wzmacnia ochronę danych poprzez wielowarstwowy monitoring i automatyczne reakcje na zagrożenia. Funkcja Real-Time Event Monitoring strumieniuje zdarzenia (np. ApiEventStream, BulkApiResultEvent) niemal w czasie rzeczywistym, umożliwiając wykrywanie masowych eksportów czy nieautoryzowanych wywołań API zaraz po ich wystąpieniu (Salesforce Developers). Równolegle, Login Forensics przechowuje i analizuje historię logowań (np. nietypowe godziny, nowe lokalizacje czy zmieniające się adresy IP), automatycznie wysyłając alerty e-mail do administratorów przy wykryciu anomalii (Salesforce). Na tym nie koniec – Enhanced Transaction Security pozwala definiować polityki bezpieczeństwa, które w czasie rzeczywistym wymuszają akcje takie jak blokada sesji czy dodatkowa weryfikacja wieloskładnikowa (MFA) w odpowiedzi na podejrzane operacje (Salesforce). Aby wychwycić dyskretne ataki typu „drip exfiltration”, Security Einstein wykorzystuje uczenie maszynowe do modelowania normalnego zachowania przy eksportowaniu danych i sygnalizuje każde odchylenie w wolumenie, geolokalizacji lub czasie żądania (Salesforce). Dodatkowo, platforma integruje się z rozwiązaniami SOC/SIEM, takimi jak Splunk, za pomocą dedykowanych wtyczek, co pozwala na centralne gromadzenie, korelację i okresowe raportowanie trendów bezpieczeństwa oraz automatyczne uruchamianie procedur reagowania na incydenty (splunk.com).

Znaczenie szkoleń i cyberhigieny

Bez względu na poziom zabezpieczeń technologicznych, czynnikiem decydującym jest świadomość użytkownika. Regularne szkolenia z zakresu rozpoznawania phishingu i vishingu powinny być obowiązkowym elementem onboardingu – nie tylko dla administratorów, lecz także dla nowych pracowników działów sprzedaży, HR czy finansów. Warto prowadzić symulacje ataków, by zidentyfikować najsłabsze ogniwa oraz utrwalić dobre praktyki. Wielokrotne przypominanie zasad bezpieczeństwa, nawet w formie krótkich quizów czy newsletterów, znacząco podnosi czujność zespołu. Dodatkowo firmy mogą wdrożyć politykę podwójnej weryfikacji przy dodawaniu aplikacji connected apps, co zmusza ofiarę ataku do potwierdzenia instalacji przy pomocy drugiego kanału komunikacji. W dłuższej perspektywie buduje to kulturę bezpieczeństwa i zmniejsza ryzyko udanego oszustwa. Nie zapominajmy również o aktualizacjach procedur – technologie i metodycyberprzestępcze rozwijają się bardzo szybko, dlatego scenariusze szkoleniowe muszą być co kwartał odświeżane.

Salesforce Shield – zaawansowana ochrona danych

Dla organizacji, którym szczególnie zależy na ochronie danych osobowych i wrażliwych informacji, warto rozważyć Salesforce Shield – płatny pakiet trzech modułów zapewniających dodatkowe warstwy zabezpieczeń. Pierwszy to Platform Encryption, który umożliwia szyfrowanie danych „at rest” przy użyciu własnych kluczy klienta. Drugi, Event Monitoring, oferuje dogłębną analizę wszystkich operacji na rekordach, z możliwością tworzenia niestandardowych alertów na nietypowe aktywności. Trzeci moduł, Field Audit Trail, pozwala na przechowywanie historii zmian pól nawet do 10 lat, spełniając surowe wymogi compliance. Shield integruje się z rozwiązaniami SIEM, co zwiększa widoczność incydentów w czasie rzeczywistym. Choć jest to dodatkowy koszt licencji, w przypadku sektorów takich jak finanse, opieka zdrowotna czy telekomunikacja inwestycja zwraca się w postaci minimalizacji ryzyka oraz spełnienia regulacji RODO i PCI DSS.

Podsumowanie i rekomendacje

Ataki UNC6040 to przestroga dla każdej firmy korzystającej z Salesforce – niezależnie od wielkości czy branży. Nawet najlepsze zabezpieczenia mogą zostać pokonane przez dobrze przeprowadzony atak socjotechniczny. Dlatego niezbędne jest połączenie technologii, procesów i edukacji użytkowników. W pierwszej kolejności warto zweryfikować, czy każda osoba z uprawnieniami do instalacji connected apps przeszła aktualne szkolenie i czy obowiązujący w organizacji plan reagowania na incydenty jest skuteczny. Następnie rekomendujemy wdrożenie lub rozbudowę monitoringu oraz rozważenie Salesforce Shield jako uzupełnienia podstawowych mechanizmów. Bezpieczeństwo danych to odpowiedzialność wspólna – od CEO po pracownika działu help desku. Czy Twoja firma traktuje szkolenia jako inwestycję, czy jedynie formalność? Może czas zrobić kolejny krok i wyprzedzić kolejną falę ataków?