Negli ultimi giorni, una finta versione di Salesforce è stata sfruttata per realizzare un attacco di vishing particolarmente sofisticato. I cybercriminali, fingendosi operatori interni o tecnici dell’azienda, hanno contattato telefonicamente le vittime con l’obiettivo di ottenere credenziali di accesso riservate.
Utilizzando strumenti apparentemente legittimi, sono riusciti a penetrare nei sistemi di alcune organizzazioni, dimostrando quanto il voice phishing possa rivelarsi una minaccia concreta anche per i grandi player del cloud. L’incidente sottolinea l’importanza, per aziende di ogni dimensione, di rafforzare i protocolli di verifica e sensibilizzare i dipendenti su questo tipo di frodi.
Salesforce ha confermato che non esiste alcuna vulnerabilità nella propria piattaforma e che l’incidente è il risultato di attacchi di ingegneria sociale rivolti direttamente agli utenti, non di un problema tecnico interno ai suoi sistemi.
Vishing & human hacking
Il vishing (voice phishing) rappresenta una tecnica avanzata di social engineering, in cui l’attore malevolo sfrutta canali di comunicazione vocale – tipicamente VoIP spoofing o chiamate simulate da numeri fidati – per eseguire un attacco basato sulla manipolazione cognitiva dell’utente target. L’obiettivo primario è l’esfiltrazione di credenziali o l’induzione a compiere azioni che violano policy di sicurezza, come il bypass di sistemi MFA, il rilascio di token di sessione o l’esecuzione di comandi da remoto.
A differenza di vettori di attacco puramente tecnici (es. exploit di vulnerabilità software), il vishing si fonda sull’exploitation della psychological surface attack, ovvero l’insieme delle debolezze comportamentali e procedurali dell’individuo. Questo tipo di minaccia è particolarmente efficace in contesti ad alta pressione decisionale e richiede misure difensive multilivello: training sulla sicurezza basato su scenari reali, procedure di verifica incrociata su canali out-of-band, e implementazione di controlli zero-trust anche nei flussi operativi non digitali.
Vishing: come funziona
Nel caso osservato, gli attori malevoli hanno eseguito una campagna mirata di social engineering basata su contatti vocali diretti, impersonando tecnici autorizzati di Salesforce o membri del personale IT interno delle aziende target. Attraverso una strategia di impersonation ben orchestrata – supportata da voice spoofing, knowledge pre-acquisito tramite OSINT e tono comunicativo professionale – i threat actor hanno instaurato un contesto di urgenza operativa, inducendo gli utenti a installare una versione trojanizzata del client Salesforce Data Loader, distribuita tramite landing page contraffatte con alto livello di spoofing visivo (UI mirroring e certificati apparentemente legittimi).
Una volta eseguito il payload, il software compromesso ha consentito la persistence su endpoint interni, l’escalation di privilegi e, in alcuni casi, l’esfiltrazione di credenziali tramite keylogging e credential harvesting da vault non protetti. L’attacco evidenzia una combinazione di compromissione umana e supply chain manipulation, con impatti significativi su data governance, identity security e integrità dei flussi di autenticazione federata.
Vishing: quali rischi
Gli attacchi basati su vishing rappresentano una grave minaccia per l’integrità dei sistemi informativi aziendali, in quanto abilitano un accesso non autorizzato e privo di tracciabilità ai dati particolari mediante compromissione della componente umana. Una volta ottenute le credenziali o indotto l’utente ad eseguire software malevolo, gli attori della minaccia possono eseguire lateral movement, privilege escalation e persistence su infrastrutture critiche, eludendo i tradizionali sistemi di rilevamento.
Nel contesto dell’incidente legato a Salesforce, il potenziale impatto è stato particolarmente significativo, poiché la piattaforma gestisce dati strategici a elevata densità informativa (CRM, pipeline di vendita, PII, dati finanziari). Un’eventuale compromissione di questa superficie espositiva può abilitare attacchi a catena (es. compromissione di terze parti, spear phishing interno, shadow IT), generare danni reputazionali e legali, e facilitare attività estorsive attraverso tecniche di double extortion.
Come mitigare il rischio
La protezione contro attacchi di vishing richiede un approccio stratificato che integri controllo tecnologico, governance dei processi e consapevolezza umana. Le seguenti misure rappresentano best practice consolidate nel contesto cybersecurity aziendale:
- Security Awareness Training continuo e contestualizzato: implementare programmi formativi avanzati, basati su scenari reali e simulazioni di attacco (red teaming, phishing simulation), focalizzati sulla detection cognitiva delle tecniche di social engineering.
- Autenticazione Multi-Factor (MFA): applicare meccanismi MFA robusti (preferibilmente FIDO2/WebAuthn) per segmentare l’accesso e contenere lateral movement anche in caso di compromissione iniziale dell’identità digitale.
- Standardizzazione delle procedure e playbook di risposta: definire SOP (Standard Operating Procedures) per la gestione di contatti vocali sospetti, con verifiche out-of-band obbligatorie, escalation tracciata e reporting immediato. Condurre penetration test orientati alla componente umana (social engineering audit) su base periodica.
- Integrazione di soluzioni MDR (Managed Detection & Response): affidarsi a servizi MDR con copertura H24 per rilevamento e risposta proattiva a indicatori di compromissione legati a social engineering, abusi di identità e comportamenti anomali su endpoint.
- Threat Intelligence operativa: correlare eventi sospetti con feed di intelligence in tempo reale, analizzando TTP (Tactics, Techniques and Procedures) associati a campagne di vishing e voice spoofing, per anticipare trend e rafforzare la postura difensiva.
Contrastare efficacemente minacce complesse come il vishing richiede un approccio integrato che combini tecnologie avanzate, servizi gestiti di sicurezza e soprattutto competenze umane altamente specializzate. Investire nella formazione continua del personale, nella definizione di processi di risposta strutturati e nell’affiancamento di partner esperti consente alle organizzazioni di costruire una postura difensiva resiliente, riducendo in modo concreto il rischio di compromissioni, perdite economiche e danni reputazionali.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
