Hoe ShinyHunters Salesforce data kaapt zonder malware
Een nieuwe golf van cybercriminaliteit overspoelt de zakelijke wereld, waarbij de focus verschuift van het infecteren van computers naar het misbruiken van digitale identiteiten. In een diepgaand rapport van Amuneth analyseert cybersecurity-expert Erik Westhovens (foto) de werkwijze van de hackersgroep ShinyHunters. Hun 'playbook' onthult hoe zij Salesforce-omgevingen leegroven door simpelweg het vertrouwen van medewerkers te misbruiken.
Lange tijd was ransomware de grootste angst van menig IT-directeur: kwaadaardige software die systemen versleutelt. Maar ShinyHunters bewijst dat het anders kan, zo meldt het rapport van Amuneth. De groep hanteert een "SaaS-native" aanpak waarbij geen enkele regel code op een bedrijfscomputer hoeft te worden uitgevoerd. In plaats daarvan richten zij zich volledig op het overnemen van accounts binnen platformen als Salesforce, waar de meest gevoelige bedrijfsdata – van klantlijsten tot contracten – zijn opgeslagen.
De aanvalsketen: Van babbeltruc naar datadiefstal
De aanval begint niet met een virus, maar met een telefoontje. De aanvallers maken gebruik van vishing (voice phishing), waarbij zij zich voordoen als IT-ondersteuning. Ze overtuigen medewerkers om in te loggen op een nagemaakte Single Sign-On (SSO) pagina.
Wat deze methode zo effectief maakt, is de real-time uitvoering. Terwijl de medewerker zijn gegevens en MFA-code (meervoudige verificatie) invult op de nep-site, vullen de aanvallers deze direct in op de echte inlogpagina. Hierdoor onderscheppen zij de sessie-tokens en hebben zij volledige toegang, zonder dat er nogmaals om een wachtwoord wordt gevraagd.
Het paard van Troje: Malafide 'Connected Apps'
Zodra de aanvallers binnen zijn in de Salesforce-omgeving, maken ze gebruik van een geraffineerde techniek: het autoriseren van een zogenaamde 'Connected App'. Westhovens beschrijft in zijn rapport hoe aanvallers vaak een aangepaste versie van de legitieme tool Data Loader gebruiken.
Omdat deze app door de gebruiker zelf lijkt te zijn goedgekeurd, valt de data-exfiltratie nauwelijks op in de beveiligingslogs. De aanvallers kunnen vervolgens op hun gemak bulkrapporten uitdraaien of API's aanroepen om duizenden klantrecords te downloaden.
Waarom Salesforce? De waarde van de buit
De keuze voor Salesforce is strategisch. "CRM-data is de brandstof van de moderne onderneming," stelt het rapport. Voor een afperser is deze data goud waard. In tegenstelling tot versleutelde bestanden, kan gestolen klantdata direct worden gebruikt als drukmiddel. Dreigen met het openbaar maken van contracten, prijsafspraken of onopgeloste klantproblemen zet direct enorme druk op de reputatie en de commerciële positie van een bedrijf.
Aanbevelingen: Identiteit als de nieuwe perimeter
Westhovens concludeert dat de traditionele beveiliging, die gericht is op het schoonhouden van de laptop (endpoints), niet langer volstaat. Voor een effectieve verdediging moeten bedrijven:
- Phishing-resistente MFA invoeren: Gebruik fysieke beveiligingssleutels die niet via een nep-website kunnen worden uitgelezen.
- App-governance aanscherpen: Controleer streng welke applicaties toegang krijgen tot Salesforce en beperk de rechten van gebruikers om zelf apps te koppelen.
- Logs correleren: Beveiligingsteams moeten de inlogs van de identiteitsprovider (zoals Okta of Azure AD) en de acties binnen Salesforce als één geheel monitoren.
De boodschap van het rapport is helder: in 2026 is een 'schone' computer geen garantie meer voor een veilige organisatie. De strijd om de bedrijfsdata wordt nu gevoerd op het niveau van identiteit en vertrouwen.
Meer over cybersecurity
Over Witold Kepinski
