S&Pの報告書によると、巧妙な脅威グループが人間の行動を悪用して、最も高度なセキュリティ技術を回避する能力が、最近のソーシャルエンジニアリング攻撃によって浮き彫りになっています。

ここ数ヶ月、金銭目的のハッカーがボイスフィッシングを用いてSalesforceインスタンスを標的にし、認証情報を取得して技術システムへのアクセス権を得ていました。S&Pのアナリストは、これらの攻撃がより良い意識向上、セキュリティトレーニング、サイバーガバナンスの改善の必要性を示していると述べています。

S&Pグローバルのディレクターであるジャワド・フセイン氏は、サイバーセキュリティ・ダイブに対し、「誰かがアクセス権を与えてしまえば、基本的にすべての優れたセキュリティが迂回されてしまう」と語りました。また、このキャンペーンは、サードパーティアプリケーションへの依存度が高まっていることに関連するリスクも浮き彫りにしています。報告書によると、Salesforce自体にセキュリティ上の脆弱性はなかったものの、一連の攻撃はブランドの評判リスクを生み出す可能性があります。

FBIは今月初め、2つの異なるキャンペーンが、標的となった組織に対するデータ窃盗と恐喝を行うために異なる戦術を利用したと警告しました。UNC6040として追跡されているグループは、顧客サービス担当者から認証情報を引き出すためにボイスフィッシングを使用しており、このキャンペーンは2024年10月から継続しています。

より最近のキャンペーンでは、AIチャットボット「Salesloft Drift」の侵害されたOAuthトークンが使用されました。この攻撃では、Salesforceインスタンスが侵害された後にデータが盗まれました。後者のキャンペーンは、企業がアクセスを取り消し、OAuthトークンを更新したことで阻止されました。

元記事：[Social engineering campaigns highlight the ability to exploit human behavior](https://www.cybersecuritydive.com/news/social-engineering-human-behavior-cybersecurity-attacks/700000/)