Einige kriminelle Cybergangs – angeführt von „ShinyHunters“ und Gruppen wie Scattered Spider und Lapsus$ (unter Beobachtung der Google Threat Intelligence Group als UNC6040) – betreiben eine Leaksite im Darknet.

Hier wurden im Oktober 2025 39 namhafte Unternehmen erpresst: Die Täter drohen, aus der Cloud-Plattfor für Customer Relationship Management (CRM) mit dem Namen "Salesforce" gestohlene Daten zu veröffentlichen, sofern kein Lösegeld gezahlt wird. Betroffen sind große Marken wie Adidas, Cisco, Disney/Hulu, IKEA, McDonald’s, Toyota, UPS, einige Fluggesellschaften und viele mehr.

Die Angreifer geben an, rund eine Milliarde Datensätze zu besitzen. Die einzelnen Einträge zu den Opfern listen auf, welche sensiblen Daten entwendet wurden. Außerdem findet sich dort jeweils ein Beispieldatensatz.

Sie bieten Unternehmen und Salesforce selbst an, die Daten nicht zu veröffentlichen, wenn diese Verhandlungen aufnehmen. Salesforce hat jedoch ihren Kunden mitgeteilt, dass das Unternehmen kein Lösegeld zahlen wird.

Doch wie konnte dieser Angriff stattfinden?
Die Täter nutzen Voice-Phishing (Vishing), geben sich telefonisch als IT-Support aus und erlangen so Zugang zu den Salesforce-Systemen ihrer Opfer – ohne technische Exploits, allein durch Social Engineering.

W&B bietet im Rahmen des W&B Managed-IT-Service-Konzepts unterschiedliche IT-Sicherheitsmaßnahmen, welche Ihre IT-Infrastruktur vor Cyberangriffen und deren Folgen schützen.

Wie konkret können dabei Voice-Phishing-Angriffe verhindert werden?

• Mehrstufige Authentifizierung und Einsatz von Passkeys sowie Zugangskontrollen:
  • Mitarbeitende bestätigen verdächtige Anrufer über Videoanrufe oder Rückrufverfahren über hinterlegte Kontakte – nie über unsichere Einzelkriterien.
  • Striktes Role-Based Access Control (RBAC) in Cloud-Diensten wie Salesforce: Jeder Nutzer erhält nur notwendige Rechte.
• Sichere Integration Dritter und Monitoring
• Awareness-Schulungen und Phishing-Tests:
  • Gezielte Vishing-Schulungen helfen Mitarbeitenden, Support-Anrufe sicher zu verifizieren.
  • Regelmäßige Simulationskampagnen, um Reaktionen auf Social Engineering zu verbessern.
• Managed Firewall und Web-Filter
  • Verdächtige Netzwerkverbindungen, wie unerwartete API-Aufrufe aus Cloud-Integrationen, werden frühzeitig blockiert.
  • Web-Filter verhindern das Laden unsicherer oder verdächtiger Dienste, die als Backdoor missbraucht werden könnten.
• Incident Response und Notfallpläne
  • Bei Verdacht auf unautorisierten Zugriff aktivieren wir sofort unser Security-Team, isolieren betroffene Systeme und setzen weitere Authentifizierungsebenen ein.
  • Reporting-Verfahren werden schnell ausgelöst, um mögliche Erpressungsdrohungen oder Datenlecks unverzüglich zu melden.

Durch ein Zusammenspiel von technischen Maßnahmen, Schulung und Echtzeit-Überwachung schützt W&B nicht nur vor Softwarelücken, sondern auch effektiv gegen die menschliche Komponente hinter Social-Engineering-Angriffen wie Vishing. Informieren Sie sich jetzt, wie auch Sie sich vor Angriffen schützen können.