Utrecht – Nederlandse cybersecurityspecialist Northwave waarschuwt voor een explosieve toename van salesforce social engineering aanvallen op bedrijven. Criminelen richten zich specifiek op de populaire CRM-applicatie door zich voor te doen als IT-medewerkers en zo toegang te krijgen tot gevoelige klantgegevens.
Salesforce onder vuur: social engineering als zwakste schakel
De aanvallen richten zich specifiek op Salesforce-gebruikers door middel van telefonische social engineering. Criminelen geven zich uit als IT-medewerkers van het bedrijf zelf en proberen zo inloggegevens en MFA-codes (Multi-Factor Authentication) buit te maken. Eenmaal in bezit van deze gegevens kunnen aanvallers ongehinderd toegang krijgen tot gevoelige klantgegevens in de CRM-omgeving.
Impact van social engineering bij Odido
De ernst van deze dreiging werd recent onderstreept door een cybersecurity-incident bij telecomprovider Odido. Bij deze aanval maakten criminelen gebruik van vergelijkbare social engineering-technieken om toegang te krijgen tot de Salesforce-omgeving van het bedrijf. Door medewerkers te misleiden, wisten de aanvallers door de beveiligingslagen heen te dringen en klantgegevens in te zien. Dit praktijkvoorbeeld laat zien dat zelfs grote organisaties met omvangrijke IT-budgetten kwetsbaar blijven voor de menselijke factor in het beveiligingsproces.
Voor ondernemers in Nederland die Salesforce gebruiken, vormen deze aanvallen een direct risico voor de bescherming van klantgegevens en bedrijfsgeheimen. Het gevaar schuilt vooral in de menselijke factor: medewerkers kunnen moeilijk onderscheiden of een beller werkelijk van de IT-afdeling is. Het verstevigen van interne communicatieprotocollen en medewerkersbewustzijn is daarom essentieel om deze vorm van aanval af te weren.
Geavanceerde salesforce social engineering methoden
De aanvallers hanteren een verfijnde werkwijze waarbij ze telefonisch contact opnemen met medewerkers. Daarbij doen ze zich voor als de interne IT-servicedesk van het bedrijf. Volgens Northwave slagen de criminelen erin om op deze manier inloggegevens en MFA-codes te bemachtigen. Met deze gestolen toegangsgegevens infiltreren ze vervolgens in de Salesforce-omgeving van organisaties.
Vooral zorgwekkend is de snelheid waarmee de aanvallers opereren. Northwave meldt dat de tijd tussen het verkrijgen van initiële toegang en het daadwerkelijk stelen van gegevens extreem kort is. Hierdoor kunnen criminelen zelfs bij snelle detectie nog steeds slagen in hun missie om data buit te maken.
Kwaadaardige plug-ins voor gegevensdiefstal
Eenmaal binnen installeren de hackers gespecialiseerde plug-ins die gebruikmaken van de Salesforce API. Deze tools zijn specifiek ontworpen om gegevens weg te nemen op een manier die detectie vermijdt. Daarom vragen de kwaadaardige applicaties slechts beperkte hoeveelheden data per verzoek op. Zo blijven ze onder de radar van beveiligingssystemen die normaal gesproken alarm slaan bij verdachte activiteiten.
Christiaan Ottow, Chief Technology Officer bij Northwave Cyber Security, benadrukt het belang van een bredere aanpak. “Op de langere termijn is het belangrijk dat bedrijven anders nadenken over toegang tot persoonsgegevens door individuele medewerkers”, aldus Ottow. Daarnaast toont deze situatie volgens hem aan dat cybersecurity niet alleen draait om technologie, maar ook om bewustzijn van medewerkers.
Directe beschermingsmaatregelen voor bedrijven
Northwave adviseert organisaties om onmiddellijk alle verbonden apps in Salesforce te controleren en valideren. Bovendien moeten bedrijven de rechten om plug-ins te installeren drastisch beperken tot alleen beheerders. Ook het implementeren van een app-allowlist behoort tot de aanbevolen maatregelen.
Verder raadt het cybersecuritybedrijf aan om medewerkers te informeren over de aanvalsmethoden. Medewerkers moeten weten dat de echte IT-helpdesk nooit om wachtwoorden of MFA-codes vraagt. Tevens is het van belang dat Salesforce alleen toegankelijk wordt gemaakt via vertrouwde netwerken zoals VPN-verbindingen.
Het Utrechtse bedrijf benadrukt ook het belang van uitgebreide logging en monitoring. Deze systemen moeten controleren op grote hoeveelheden queries, ongebruikelijke exports en inlogpogingen vanaf onbekende locaties. Tot slot adviseert Northwave om trainingen en onboarding-procedures bij te werken met specifieke informatie over dit type aanval.
Kernfeiten
- Aanvallers bereiken Salesforce-toegang door zich voor te doen als interne IT-medewerkers
- Criminelen bemachtigen inloggegevens en MFA-codes via telefonisch contact
- Gevoelige klantgegevens in Salesforce zijn het primaire doelwit van deze aanvallen
Veelgestelde vragen
Hoe herken ik een social engineering aanval op mijn bedrijf?
Let op telefoontjes van personen die zich voordoen als IT-ondersteuning en direct om inloggegevens of authenticatiecodes vragen. Verificatie van de beller via een officieel intern telefoonnummer en het nooit delen van MFA-codes zijn basale beveiligingsmaatregelen.
Welke voorzorgsmaatregelen moet ons MKB nemen voor Salesforce?
Implementeer duidelijke richtlijnen waarin staat dat IT-medewerkers nooit om wachtwoorden vragen, zorg voor regelmatige veiligheidstraining en controleer toegangsrechten regelmatig. Een sterke MFA-implementatie en educatie van medewerkers zijn uw eerste verdedigingslijn.