Google, Salesforce kullanıcılarını sosyal mühendislik saldırıları konusunda uyardı.
Google Threat Intelligence Group (GTIG), 4 Haziran 2025 tarihinde yayımladığı blog yazısında, sesli oltalama (vishing) saldırılarıyla tanınan UNC6040 adlı bir tehdit grubunun, Salesforce kullanıcılarını hedef alan geniş çaplı bir sosyal mühendislik kampanyası yürüttüğünü açıkladı.
Söz konusu saldırılar, sistem zafiyetlerini değil, doğrudan insan faktörünü hedef alıyor. UNC6040 operatörleri, kurumsal kullanıcıları telefonla arayarak kendilerini BT destek personeli gibi tanıtıyor ve çalışanları kandırarak giriş bilgilerini elde etmeye ya da saldırganlara doğrudan sistem erişimi sağlamaya çalışıyor. GTIG’nin ifadesine göre, “Tespit edilen tüm vakalarda, saldırganlar Salesforce’un içsel bir açığından değil, kullanıcıların manipülasyonundan faydalandı.”
Veri Hırsızlığı ve Gecikmeli Şantaj Taktikleri
Saldırganlar, başarılı şekilde Salesforce sistemine erişim sağladıktan sonra büyük ölçekli veri hırsızlığı gerçekleştiriyor. Daha sonra, bu veriler üzerinden şirketlere şantaj girişiminde bulunuyorlar. GTIG, bazı vakalarda şantaj faaliyetlerinin saldırıdan birkaç ay sonra gerçekleştiğini ve bunun, UNC6040 grubunun çalınan verilere sonradan erişim sağlayan ikinci bir tehdit aktörüyle iş birliği yaptığını gösterebileceğini belirtiyor.
Bloomberg’e açıklama yapan bir Salesforce sözcüsü, sistemlerinde herhangi bir açık bulunmadığını ve saldırıların tamamen kullanıcıların siber güvenlik farkındalığındaki zayıflıklardan kaynaklandığını vurguladı. Sözcü, “Bu tür saldırılar, bireysel güvenlik alışkanlıklarındaki açıkları hedefleyen sosyal mühendislik dolandırıcılıklarıdır” dedi.
Kurumlara Yönelik Güvenlik Önerileri
Salesforce, 12 Mart 2025 tarihinde yayımladığı blog yazısında sosyal mühendislik tehditlerine karşı alınabilecek önlemleri detaylı şekilde sıralamıştı. Google Threat Intelligence Group da, bu tehditlere karşı özellikle şu başlıklara dikkat çekiyor:
-
Asgari ayrıcalık ilkesi uygulanmalı, yani çalışanlara sadece ihtiyaç duydukları kadar sistem yetkisi verilmeli
-
Bağlı uygulamalara erişim sıkı şekilde yönetilmeli
-
IP tabanlı erişim kısıtlamaları hayata geçirilmeli
-
Salesforce Shield gibi gelişmiş güvenlik izleme ve politika uygulama araçları kullanılmalı
-
Tüm kullanıcılar için çok faktörlü kimlik doğrulama (MFA) zorunlu hale getirilmeli
-
Kullanıcılara sosyal mühendislik senaryoları hakkında sürekli eğitim verilmeli
Kurumlar dijitalleşmeye hızla adapte olurken, siber saldırganlar da savunmaların etrafından dolanmak için insan psikolojisini hedef alan yöntemleri tercih ediyor. UNC6040’un yürüttüğü sosyal mühendislik operasyonu, güvenliğin sadece teknolojiyle değil, aynı zamanda farkındalıkla da sağlanabileceğini net biçimde gösteriyor. Bu tür saldırılar, güçlü altyapılar kadar, güvenlik bilincine sahip kullanıcıların da hayati önem taşıdığını bir kez daha hatırlatıyor.
