Τον Ιούνιο του 2025, ένας υπάλληλος της Google έλαβε μια κλήση ρουτίνας από την υποστήριξη IT.
Η φωνή στη γραμμή ακουγόταν επαγγελματική, σίγουρη και απόλυτα οικεία.
Ο τεχνικός ζήτησε από τον υπάλληλο να εγκρίνει μια νέα εφαρμογή στο σύστημα Salesforce της εταιρείας.
Μέσα σε λίγα λεπτά, οι επιτιθέμενοι είχαν πρόσβαση και έκλεψαν 2,55 εκατομμύρια αρχεία πελατών από το CRM της Google.
Αυτό που κατέστησε αυτό δυνατό ήταν η χρήση της τεχνολογίας deepfake audio, με φωνές παραγόμενες από τεχνητή νοημοσύνη τόσο πειστικές που ξεγέλασαν μία από τις πιο αξιόπιστες μορφές πιστοποίησης, την αναγνώριση της φωνής ενός συναδέλφου.
Αυτό το περιστατικό, που συνδέεται με την ομάδα ShinyHunters, δείχνει πώς οι επιτιθέμενοι χρησιμοποιούν πλέον την τεχνητή νοημοσύνη για να εισέλθουν στα συστήματα των εταιρειών.
Καθώς αποτελεί τη ραχοκοκαλιά της διαχείρισης πελατειακών σχέσεων για εκατομμύρια οργανισμούς παγκοσμίως, η Salesforce έχει γίνει ένας από τους κύριους στόχους μιας νέας γενιάς επιθέσεων κοινωνικής μηχανικής με τεχνητή νοημοσύνη.
Γιατί η Salesforce Became έγινε στόχος Deepfake
Η ανάπτυξη της Salesforce την έχει επίσης μετατρέψει σε μεγάλο στόχο για κλοπή δεδομένων.
Δεδομένου ότι τα πάντα είναι συγκεντρωμένα, μια και μόνο παραβίαση μπορεί να εκθέσει εκατομμύρια αρχεία πελατών από πολλές διαφορετικές εταιρείες.
Όπως σημειώνει ο επικεφαλής του τμήματος Threat Intelligence της WithSecure, Tim West:
Μην ανησυχείτε ποτέ ξανά για την απάτη με τεχνητή νοημοσύνη. TruthScan Μπορεί να σας βοηθήσει:
- Ανίχνευση AI που παράγεται εικόνες, κείμενο, φωνή και βίντεο.
- Αποφύγετε το σημαντική απάτη με βάση την τεχνητή νοημοσύνη.
- Προστατέψτε τα πιο ευαίσθητο περιουσιακά στοιχεία της επιχείρησης.
"Ομάδες hacking όπως η Scattered Spider αναπτύσσουν κοινωνική μηχανική για να αποκτήσουν πρόσβαση σε περιβάλλοντα SaaS. Οι επιθέσεις τους μπορεί να φαίνονται τεχνικά απλές, αλλά αυτό δεν τις κάνει λιγότερο επικίνδυνες".
Σύμφωνα με νέα έρευνα της WithSecure, η κακόβουλη δραστηριότητα μέσα σε περιβάλλοντα Salesforce αυξήθηκε απότομα το πρώτο τρίμηνο του 2025, με εικοσαπλάσια αύξηση των ανιχνεύσεων σε σύγκριση με τα τέλη του 2024.
Πώς τα Deepfakes τροφοδότησαν μια παραβίαση της Salesforce
Αυτό που κάνει τις πρόσφατες επιθέσεις ιδιαίτερα επικίνδυνες είναι το πώς η τεχνολογία deepfake έχει μετατραπεί από ένα εξειδικευμένο εργαλείο σε κάτι που μπορεί να χρησιμοποιήσει ο καθένας ως όπλο.
Σε αντίθεση με τις παραδοσιακές παραβιάσεις δεδομένων που εισβάλλουν απευθείας σε βάσεις δεδομένων, οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν τώρα τη φωνητική κοινωνική μηχανική ή "vishing". Με την άνοδο των deepfakes και της AI κλωνοποίησης φωνής, αυτές οι επιθέσεις γίνονται πολύ πιο δύσκολο να εντοπιστούν.
Η εκστρατεία ShinyHunters κατά των πελατών της Salesforce ακολουθεί ένα αποτελεσματικό εγχειρίδιο που συνδυάζει την παραδοσιακή κοινωνική μηχανική με την πρωτοποριακή εξαπάτηση με τεχνητή νοημοσύνη:
Φάση 1: Συλλογή πληροφοριών φωνής
Οι επιτιθέμενοι ξεκινούν με τη συλλογή δειγμάτων ήχου από δημόσιες πηγές, παρουσιάσεις στελεχών, τηλεδιασκέψεις, εταιρικά βίντεο ή αναρτήσεις στα μέσα κοινωνικής δικτύωσης.
Με μόλις 20-30 δευτερόλεπτα καθαρού ήχου, μπορούν να δημιουργήσουν πειστικούς κλώνους φωνής.
Φάση 2: Το Deepfake Vishing Call
Κατά τη διάρκεια μιας κλήσης vishing, ο επιτιθέμενος πείθει το θύμα να μεταβεί στη σελίδα εγκατάστασης συνδεδεμένων εφαρμογών του Salesforce και να εγκρίνει μια ψεύτικη έκδοση της εφαρμογής Data Loader, μεταμφιεσμένη με ελαφρώς τροποποιημένη επωνυμία.
Έτσι, το θύμα αφήνει εν αγνοία του τους επιτιθέμενους να κλέψουν ευαίσθητα δεδομένα από το Salesforce.
Η πολυπλοκότητα είναι αξιοσημείωτη. Σε ορισμένες περιπτώσεις, οι επιτιθέμενοι χρησιμοποίησαν deepfake ήχο για να υποδυθούν τους υπαλλήλους και να πείσουν το προσωπικό του help desk να εξουσιοδοτήσει την πρόσβαση.
Αυτό αντιπροσωπεύει μια σημαντική εξέλιξη από το παραδοσιακό φωνητικό phishing, όπου οι επιτιθέμενοι απλώς προσποιούνταν ότι είναι πρόσωπα εξουσίας, στην ενισχυμένη με τεχνητή νοημοσύνη μίμηση, όπου μπορούν πραγματικά να ακούγονται σαν συγκεκριμένα άτομα.
Φάση 3: Εκμετάλλευση του OAuth
Μόλις εξουσιοδοτηθεί η κακόβουλη εφαρμογή, οι επιτιθέμενοι παρακάμπτουν πλήρως τον έλεγχο ταυτότητας πολλαπλών παραγόντων.
Αφού εγκριθεί η ψεύτικη εφαρμογή, οι επιτιθέμενοι αποκτούν μακροχρόνια tokens OAuth, τα οποία τους επιτρέπουν να παρακάμπτουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων και να λειτουργούν χωρίς να ενεργοποιούν τις συνήθεις ειδοποιήσεις ασφαλείας.
Φάση 4: Σιωπηλή εξαγωγή δεδομένων
Η Ομάδα Πληροφοριών Απειλών της Google προειδοποίησε ότι ένας απειλητικός παράγοντας χρησιμοποίησε ένα εργαλείο Python για να αυτοματοποιήσει τη διαδικασία κλοπής δεδομένων για κάθε οργανισμό που ήταν στόχος, με τους ερευνητές να γνωρίζουν πάνω από 700 δυνητικά επηρεαζόμενους οργανισμούς.
Γιατί είμαστε ευάλωτοι στις φωνές της Τεχνητής Νοημοσύνης
Η επιτυχία αυτών των επιθέσεων εκμεταλλεύεται ένα θεμελιώδες ανθρώπινο χαρακτηριστικό: την τάση μας να εμπιστευόμαστε αυτά που ακούμε.
Σύμφωνα με μια πρόσφατη παγκόσμια μελέτη, το 70 τοις εκατό των ανθρώπων δηλώνουν ότι δεν είναι σίγουροι ότι μπορούν να αναγνωρίσουν μια πραγματική φωνή σε σχέση με μια κλωνοποιημένη φωνή.
Αυτή η ευπάθεια επιδεινώνεται σε εταιρικά περιβάλλοντα όπου το προσωπικό του help desk έχει εκπαιδευτεί να είναι εξυπηρετικό και εξυπηρετικό και η απομακρυσμένη εργασία έχει εξομαλύνει τις αλληλεπιδράσεις μόνο με ήχο.
Σύμφωνα με την Παγκόσμια Έκθεση για τις Απειλές 2025 της CrowdStrike, υπήρξε αύξηση 442% στις επιθέσεις φωνητικού phishing (vishing) μεταξύ του πρώτου και του δεύτερου εξαμήνου του 2024, η οποία οφείλεται σε τακτικές phishing και πλαστοπροσωπίας που δημιουργούνται με τεχνητή νοημοσύνη.
Το $25 Million Wake-Up Call
Οι επιπτώσεις των επιθέσεων με ενίσχυση της απάτης deepfake εκτείνονται πολύ πέρα από το Salesforce.
Η ληστεία $25 εκατομμυρίων στην εταιρεία μηχανικών Arup στις αρχές του 2024, όπου οι επιτιθέμενοι χρησιμοποίησαν τεχνητή νοημοσύνη για να υποδυθούν πολλά στελέχη σε μια βιντεοκλήση, έδειξε ότι κανένας οργανισμός δεν είναι απρόσβλητος από αυτή την απειλή.
Παρόμοιες επιθέσεις έχουν επίσης στοχεύσει στελέχη σε διάφορους κλάδους, συμπεριλαμβανομένης μιας προσπάθειας να υποδυθούν τον διευθύνοντα σύμβουλο της Ferrari Benedetto Vigna χρησιμοποιώντας τεχνητά κλωνοποιημένες φωνητικές κλήσεις που μιμούνταν τη νότια ιταλική προφορά του.
Τα περιστατικά αυτά αντιπροσωπεύουν αυτό που οι ειδικοί σε θέματα ασφάλειας αποκαλούν "απάτη CEO 2.0", επιθέσεις που ξεπερνούν την απλή πλαστοπροσωπία ηλεκτρονικού ταχυδρομείου και δημιουργούν πολυαισθητηριακές εξαπατήσεις που μπορούν να ξεγελάσουν ακόμη και έμπειρα στελέχη.
Ασφάλεια πλατφόρμας έναντι ανθρώπινης ευπάθειας
Η Salesforce έσπευσε να τονίσει ότι αυτές οι παραβιάσεις δεν αντιπροσωπεύουν ευπάθειες στην ίδια την πλατφόρμα της.
Η Salesforce αναγνώρισε την εκστρατεία του UNC6040 τον Μάρτιο του 2025, προειδοποιώντας ότι οι επιτιθέμενοι υποδύονταν την υποστήριξη IT για να εξαπατήσουν τους υπαλλήλους ώστε να δώσουν διαπιστευτήρια ή να εγκρίνουν κακόβουλες συνδεδεμένες εφαρμογές.
Η εταιρεία τόνισε ότι τα περιστατικά αυτά δεν αφορούσαν ούτε προέρχονταν από ευπάθειες στην πλατφόρμα της.
Αυτό δείχνει μια σημαντική πρόκληση για όλους τους παρόχους SaaS: να βρουν τρόπο να σταματήσουν τις επιθέσεις που βασίζονται στην ανθρώπινη εμπιστοσύνη αντί για τεχνικά ελαττώματα.
Η Salesforce έχει εφαρμόσει διάφορα αμυντικά μέτρα:
- Σκλήρυνση συνδεδεμένων εφαρμογών: Αυτόματη απενεργοποίηση μη εγκατεστημένων συνδεδεμένων εφαρμογών για νέους χρήστες
- Περιορισμοί ροής OAuth: Απενεργοποίηση συνδέσεων που λαμβάνονται με χρήση ορισμένων διαδικασιών εξουσιοδότησης
- Ενισχυμένη παρακολούθηση: Βελτιωμένη ανίχνευση ύποπτων μοτίβων εξουσιοδότησης εφαρμογών
- Εκπαίδευση χρηστών: Εκδοτική καθοδήγηση για την αναγνώριση των προσπαθειών κοινωνικής μηχανικής
Τον Αύγουστο του 2025, η Salesforce έκλεισε όλες τις ενσωματώσεις με τις τεχνολογίες Salesloft, συμπεριλαμβανομένης της εφαρμογής Drift, αφού διαπίστωσε ότι tokens OAuth είχαν κλαπεί σε σχετικές επιθέσεις.
Οι ειδικοί σε θέματα ασφάλειας προειδοποιούν τώρα ότι οι ομάδες πρέπει να αφουγκράζονται διακριτικές ενδείξεις, όπως περίεργες παύσεις, θόρυβο φόντου ή δυσλειτουργίες ήχου, που μπορούν να αποκαλύψουν πότε μια φωνή έχει παραχθεί από τεχνητή νοημοσύνη.
Η απάντηση της επιχείρησης: Πέρα από τις τεχνολογικές λύσεις
Οι οργανισμοί αρχίζουν να αναγνωρίζουν ότι η άμυνα κατά των επιθέσεων που έχουν ενισχυθεί με deepfake απαιτεί κάτι περισσότερο από τεχνολογικές λύσεις- απαιτεί μια θεμελιώδη επανεξέταση των διαδικασιών εμπιστοσύνης και επαλήθευσης.
Επικοινωνία μηδενικής εμπιστοσύνης
Το RealityCheck της Beyond Identity παρέχει σε κάθε συμμετέχοντα ένα ορατό, επαληθευμένο σήμα ταυτότητας που υποστηρίζεται από κρυπτογραφικό έλεγχο ταυτότητας συσκευών και συνεχείς ελέγχους κινδύνου, και είναι επί του παρόντος διαθέσιμο για το Zoom και το Microsoft Teams.
Τέτοιες λύσεις αντιπροσωπεύουν μια στροφή προς τα μοντέλα "ποτέ μην εμπιστεύεσαι, πάντα επαληθεύεις" για την επιχειρησιακή επικοινωνία.
Ενισχυμένα προγράμματα κατάρτισης
Οι οργανισμοί που χρησιμοποιούν την πλατφόρμα προσομοίωσης deepfake της Resemble AI αναφέρουν έως και 90% μείωση των επιτυχημένων επιθέσεων μετά την εφαρμογή της πλατφόρμας, η οποία χρησιμοποιεί υπερρεαλιστικές προσομοιώσεις για να απεικονίσει πώς εξελίσσονται οι επιθέσεις deepfake στον πραγματικό κόσμο.
Επαλήθευση πολλαπλών καναλιών
Οι κορυφαίοι οργανισμοί εφαρμόζουν πρωτόκολλα που απαιτούν επαλήθευση μέσω πολλαπλών καναλιών για κάθε αίτημα υψηλού κινδύνου, ανεξάρτητα από το πόσο αυθεντική φαίνεται η αρχική επικοινωνία.
Όταν η φωνή δεν είναι πλέον αλήθεια
Η απειλή deepfake για το Salesforce και άλλα εταιρικά συστήματα αποτελεί σημείο καμπής στην ιστορία της κυβερνοασφάλειας.
Για πρώτη φορά, οι επιτιθέμενοι δεν μπορούν απλώς να υποδυθούν πρόσωπα εξουσίας, αλλά μπορούν πραγματικά να ακούγονται σαν αυτά, να μοιάζουν με αυτά και να πείσουν ακόμη και εκπαιδευμένους επαγγελματίες ασφαλείας να προβούν σε ενέργειες που θέτουν σε κίνδυνο την ασφάλεια του οργανισμού.
Σε μια εποχή εξαπάτησης που δημιουργείται από τεχνητή νοημοσύνη, η εμπιστοσύνη πρέπει να κερδίζεται μέσω επαλήθευσης και όχι να θεωρείται δεδομένη μέσω της εξοικείωσης.
Οι εταιρείες που το κατανοούν αυτό και επενδύουν στα κατάλληλα εργαλεία, διαδικασίες και κουλτούρα θα είναι στην καλύτερη θέση για να προστατεύσουν τόσο την ασφάλεια όσο και την εμπιστοσύνη σε έναν ολοένα και πιο αβέβαιο ψηφιακό κόσμο.
Σε αυτή τη νέα πραγματικότητα, η φωνή στην άλλη άκρη της γραμμής μπορεί να μην είναι αυτή που φαίνεται.
Στην εποχή των deepfakes, η συνεχής επαγρύπνηση είναι το τίμημα της ασφάλειας.