{"id":5335,"date":"2025-10-08T12:40:51","date_gmt":"2025-10-08T12:40:51","guid":{"rendered":"https:\/\/blog.truthscan.com\/?p=5335"},"modified":"2026-03-06T10:12:23","modified_gmt":"2026-03-06T10:12:23","slug":"deepfake-trusselen-mot-salesforce","status":"publish","type":"post","link":"https:\/\/blog.truthscan.com\/nb\/deepfake-trusselen-mot-salesforce\/","title":{"rendered":"Deepfake-trusselen mot Salesforce: N\u00e5r tillit blir et v\u00e5pen"},"content":{"rendered":"

I juni 2025 mottok en Google-ansatt det som s\u00e5 ut til \u00e5 v\u00e6re en rutinesamtale fra IT-support.<\/p>\n\n\n\n

Stemmen i r\u00f8ret h\u00f8rtes profesjonell, selvsikker og fullstendig kjent ut.\u00a0<\/p>\n\n\n\n

Teknikeren ba den ansatte om \u00e5 godkjenne en ny app i selskapets Salesforce-system.<\/p>\n\n\n\n

I l\u00f8pet av f\u00e5 minutter hadde angriperne tilgang til og stjal 2,55 millioner kundeoppf\u00f8ringer fra Googles CRM-system.<\/p>\n\n\n\n

Det som gjorde dette mulig, var bruken av deepfake-lydteknologi, med AI-genererte stemmer som var s\u00e5 overbevisende at de lurte en av de mest p\u00e5litelige formene for autentisering, nemlig \u00e5 gjenkjenne stemmen til en kollega.<\/p>\n\n\n\n

Denne hendelsen, som er knyttet til ShinyHunters-gruppen, viser hvordan angripere n\u00e5 bruker kunstig intelligens til \u00e5 bryte seg inn i bedriftssystemer.<\/p>\n\n\n\n

Salesforce, som er ryggraden i kunderelasjonsstyringen for millioner av organisasjoner over hele verden, har blitt et av hovedm\u00e5lene for en ny generasjon AI-drevne sosialtekniske angrep.<\/p>\n\n\n\n

Hvorfor Salesforce ble et Deepfake-m\u00e5l<\/strong><\/h2>\n\n\n\n

Salesforce' vekst har ogs\u00e5 gjort selskapet til et stort m\u00e5l for datatyveri.<\/p>\n\n\n\n

Siden alt er sentralisert, kan et enkelt sikkerhetsbrudd eksponere millioner av kundeopplysninger fra mange forskjellige selskaper.<\/p>\n\n\n\n

Som Tim West, leder for Threat Intelligence i WithSecure, bemerker:<\/p>\n\n\n\n

\"Hackergrupper som Scattered Spider bruker sosial manipulering for \u00e5 f\u00e5 tilgang til SaaS-milj\u00f8er. Angrepene deres kan se teknisk enkle ut, men det gj\u00f8r dem ikke mindre farlige.\"<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

If\u00f8lge en ny WithSecure-unders\u00f8kelse \u00f8kte den ondsinnede aktiviteten i Salesforce-milj\u00f8er kraftig i f\u00f8rste kvartal 2025, med en tyvedobling i antall oppdagelser sammenlignet med slutten av 2024.<\/p>\n\n\n\n

Hvordan Deepfakes drev et Salesforce-brudd<\/strong><\/h2>\n\n\n\n

Det som gj\u00f8r de siste angrepene spesielt farlige, er hvordan deepfake-teknologien har g\u00e5tt fra \u00e5 v\u00e6re et nisjeverkt\u00f8y til \u00e5 bli et v\u00e5pen som hvem som helst kan bruke.<\/p>\n\n\n\n

I motsetning til tradisjonelle datainnbrudd som bryter seg direkte inn i databaser, bruker nettkriminelle n\u00e5 stemmebasert sosial manipulering, eller \"vishing\". Med fremveksten av deepfakes og AI-stemmekloning blir disse angrepene mye vanskeligere \u00e5 oppdage.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

ShinyHunters-kampanjen mot Salesforce-kunder f\u00f8lger en effektiv dreiebok som kombinerer tradisjonell sosial manipulering med banebrytende AI-bedrag:<\/p>\n\n\n\n

Fase 1: Innsamling av stemmeinformasjon<\/strong><\/h3>\n\n\n\n

Angriperne begynner med \u00e5 h\u00f8ste lydpr\u00f8ver fra offentlige kilder, lederpresentasjoner, konferansesamtaler, bedriftsvideoer eller innlegg i sosiale medier. <\/p>\n\n\n\n

Med s\u00e5 lite som 20-30 sekunder med klar lyd kan de skape overbevisende stemmekloner.<\/p>\n\n\n\n

Fase 2: Deepfake Vishing-anropet<\/strong><\/h3>\n\n\n\n

Under en vishing-samtale overbeviser angriperen offeret om \u00e5 g\u00e5 til Salesforces tilkoblede appoppsettside og godkjenne en falsk versjon av Data Loader-appen, forkledd med litt endret merkevarebygging.<\/p>\n\n\n\n

Dermed lar offeret angriperne ubevisst stjele sensitive data fra Salesforce.<\/p>\n\n\n\n

Raffinementet er bemerkelsesverdig. I noen tilfeller brukte angriperne deepfake-lyd for \u00e5 utgi seg for \u00e5 v\u00e6re ansatte og overtale helpdesk-ansatte til \u00e5 autorisere useri\u00f8s tilgang. <\/p>\n\n\n\n

Dette representerer en betydelig utvikling fra tradisjonell phishing med stemmen, der angriperne bare utga seg for \u00e5 v\u00e6re autoritetspersoner, til AI-forbedret imitasjon, der de faktisk kan h\u00f8res ut som bestemte personer.<\/p>\n\n\n\n

Fase 3: Utnyttelse av OAuth<\/strong><\/h3>\n\n\n\n

N\u00e5r den ondsinnede applikasjonen er autorisert, kan angriperne omg\u00e5 flerfaktorautentisering helt og holdent. <\/p>\n\n\n\n

Etter at den falske appen er godkjent, f\u00e5r angriperne tak i langlivede OAuth-tokens, som gj\u00f8r at de kan omg\u00e5 flerfaktorautentisering og operere uten \u00e5 utl\u00f8se normale sikkerhetsvarsler.<\/p>\n\n\n\n

Fase 4: Stille datauttrekk<\/strong><\/h3>\n\n\n\n

Googles Threat Intelligence Group advarte om at en trusselakt\u00f8r brukte et Python-verkt\u00f8y til \u00e5 automatisere datatyveriprosessen for hver organisasjon som ble angrepet, og forskerne var klar over at over 700 organisasjoner potensielt var ber\u00f8rt.<\/p>\n\n\n\n

Hvorfor vi er s\u00e5rbare for AI-stemmer<\/strong><\/h2>\n\n\n\n

Disse angrepene utnytter et grunnleggende menneskelig trekk: v\u00e5r tendens til \u00e5 stole p\u00e5 det vi h\u00f8rer. <\/p>\n\n\n\n

If\u00f8lge en nylig gjennomf\u00f8rt global studie sier 70 prosent av befolkningen at de ikke er sikre p\u00e5 at de kan identifisere en ekte stemme kontra en klonet stemme.<\/p>\n\n\n\n

Denne s\u00e5rbarheten forsterkes i bedriftsmilj\u00f8er der helpdesk-ansatte er oppl\u00e6rt til \u00e5 v\u00e6re hjelpsomme og im\u00f8tekommende, og der fjernarbeid har normalisert interaksjoner som kun foreg\u00e5r via lyd.<\/p>\n\n\n\n

If\u00f8lge CrowdStrikes 2025 Global Threat Report var det en \u00f8kning p\u00e5 442% i antall stemmefiskeangrep (vishing) mellom f\u00f8rste og andre halvdel av 2024, drevet av AI-generert phishing og etterligningstaktikker.<\/p>\n\n\n\n

Vekkeroppringningen p\u00e5 $25 millioner<\/strong><\/h2>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n

Konsekvensene av deepfake-forbedrede angrep strekker seg langt utover Salesforce. <\/p>\n\n\n\n

Deepfake-kuppet p\u00e5 $25 millioner hos ingeni\u00f8rfirmaet Arup i begynnelsen av 2024, der angriperne brukte kunstig intelligens til \u00e5 utgi seg for \u00e5 v\u00e6re flere ledere i en videosamtale, viste at ingen organisasjoner er immune mot denne trusselen. <\/p>\n\n\n\n

Lignende angrep har ogs\u00e5 v\u00e6rt rettet mot ledere i ulike bransjer, blant annet et fors\u00f8k p\u00e5 \u00e5 utgi seg for \u00e5 v\u00e6re Ferraris administrerende direkt\u00f8r Benedetto Vigna ved hjelp av AI-klonede taleanrop som etterlignet hans s\u00f8ritalienske aksent.<\/p>\n\n\n\n

Disse hendelsene representerer det sikkerhetseksperter kaller \"CEO fraud 2.0\", angrep som g\u00e5r lenger enn bare \u00e5 utgi seg for \u00e5 v\u00e6re en e-post, og som skaper multisensoriske bedrag som kan lure selv erfarne ledere.<\/p>\n\n\n\n

Plattformsikkerhet vs. menneskelig s\u00e5rbarhet<\/strong><\/h2>\n\n\n\n

Salesforce har v\u00e6rt raske med \u00e5 understreke at disse bruddene ikke representerer s\u00e5rbarheter i selve plattformen. <\/p>\n\n\n\n

Salesforce erkjente UNC6040s kampanje i mars 2025, og advarte om at angripere utga seg for \u00e5 v\u00e6re IT-support for \u00e5 lure ansatte til \u00e5 gi bort legitimasjon eller godkjenne ondsinnede tilkoblede apper. <\/p>\n\n\n\n

Selskapet understreket at disse hendelsene ikke involverte eller hadde sin opprinnelse i s\u00e5rbarheter i plattformen.<\/p>\n\n\n\n

Dette viser en stor utfordring for alle SaaS-leverand\u00f8rer: \u00e5 finne ut hvordan man kan stoppe angrep som spiller p\u00e5 menneskelig tillit i stedet for tekniske feil.<\/p>\n\n\n\n

Salesforce har iverksatt flere defensive tiltak:<\/p>\n\n\n\n

    \n
  • Herding av tilkoblede apper: Automatisk deaktivering av ikke-installerte tilkoblede apper for nye brukere<\/li>\n\n\n\n
  • Begrensninger i OAuth-flyten: Deaktivering av tilkoblinger oppn\u00e5dd ved hjelp av visse autorisasjonsprosesser<\/li>\n\n\n\n
  • Forbedret overv\u00e5king: Forbedret oppdagelse av mistenkelige autorisasjonsm\u00f8nstre for applikasjoner<\/li>\n\n\n\n
  • Brukeroppl\u00e6ring: Publisering av veiledning om hvordan man gjenkjenner fors\u00f8k p\u00e5 sosial manipulering<\/li>\n<\/ul>\n\n\n\n

    I august 2025 stengte Salesforce alle integrasjoner med Salesloft-teknologier, inkludert Drift-appen, etter \u00e5 ha oppdaget at OAuth-tokens hadde blitt stj\u00e5let i relaterte angrep. <\/p>\n\n\n\n

    Sikkerhetseksperter advarer n\u00e5 om at teamene m\u00e5 lytte etter subtile ledetr\u00e5der, som merkelige pauser, bakgrunnsst\u00f8y eller lydfeil, som kan avsl\u00f8re n\u00e5r en stemme har blitt generert av AI.<\/p>\n\n\n\n

    Virksomhetens respons: Utover teknologiske l\u00f8sninger<\/strong><\/h2>\n\n\n\n

    Organisasjoner begynner \u00e5 innse at forsvaret mot deepfake-forbedrede angrep krever mer enn teknologiske l\u00f8sninger; det krever en grunnleggende revurdering av tillits- og verifiseringsprosesser.<\/p>\n\n\n\n

    Null tillit til kommunikasjon<\/strong><\/h3>\n\n\n\n

    RealityCheck fra Beyond Identity gir alle deltakere et synlig, verifisert identitetsmerke som st\u00f8ttes av kryptografisk enhetsautentisering og kontinuerlige risikokontroller, som for \u00f8yeblikket er tilgjengelig for Zoom og Microsoft Teams. <\/p>\n\n\n\n

    Slike l\u00f8sninger representerer et skifte i retning av \"aldri stole p\u00e5, alltid verifisere\"-modeller for bedriftskommunikasjon.<\/p>\n\n\n\n

    Forbedrede oppl\u00e6ringsprogrammer<\/strong><\/h3>\n\n\n\n

    Organisasjoner som bruker Resemble AIs deepfake-simuleringsplattform, rapporterer om opptil 90% f\u00e6rre vellykkede angrep etter implementering av plattformen, som bruker hyperrealistiske simuleringer for \u00e5 illustrere hvordan deepfake-angrep utspiller seg i den virkelige verden.<\/p>\n\n\n\n

    Verifisering av flere kanaler<\/strong><\/h3>\n\n\n\n

    Ledende organisasjoner implementerer protokoller som krever verifisering gjennom flere kanaler for alle h\u00f8yrisikoforesp\u00f8rsler, uansett hvor autentisk den opprinnelige kommunikasjonen ser ut til \u00e5 v\u00e6re.<\/p>\n\n\n\n

    N\u00e5r stemmen ikke lenger er sannhet<\/strong><\/h2>\n\n\n\n

    Deepfake-trusselen mot Salesforce og andre bedriftssystemer representerer et vendepunkt i cybersikkerhetshistorien. <\/p>\n\n\n\n

    For f\u00f8rste gang kan angripere ikke bare utgi seg for \u00e5 v\u00e6re autoritetspersoner; de kan faktisk h\u00f8res ut som dem, se ut som dem og overbevise selv utdannede sikkerhetseksperter om \u00e5 foreta handlinger som setter organisasjonens sikkerhet i fare.<\/p>\n\n\n\n

    I en tid med AI-generert bedrag m\u00e5 tillit oppn\u00e5s gjennom verifisering, ikke antas gjennom kjennskap.<\/p>\n\n\n\n

    Bedrifter som forst\u00e5r dette og investerer i de riktige verkt\u00f8yene, prosessene og kulturen, vil v\u00e6re i den beste posisjonen for \u00e5 beskytte b\u00e5de sikkerhet og tillit i en stadig mer usikker digital verden.<\/p>\n\n\n\n

    I denne nye virkeligheten er det ikke sikkert at stemmen i den andre enden av linjen er den den gir seg ut for \u00e5 v\u00e6re.<\/p>\n\n\n\n

    I en tid med deepfakes er konstant \u00e5rv\u00e5kenhet prisen for sikkerhet.<\/p>","protected":false},"excerpt":{"rendered":"

    I juni 2025 mottok en Google-ansatt det som s\u00e5 ut til \u00e5 v\u00e6re en rutinesamtale fra [...].<\/p>","protected":false},"author":15,"featured_media":5339,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_lock_modified_date":false,"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[31],"tags":[],"class_list":["post-5335","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-helpful-ai-content-tips"],"_links":{"self":[{"href":"https:\/\/blog.truthscan.com\/nb\/wp-json\/wp\/v2\/posts\/5335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.truthscan.com\/nb\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.truthscan.com\/nb\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/nb\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/nb\/wp-json\/wp\/v2\/comments?post=5335"}],"version-history":[{"count":3,"href":"https:\/\/blog.truthscan.com\/nb\/wp-json\/wp\/v2\/posts\/5335\/revisions"}],"predecessor-version":[{"id":5343,"href":"https:\/\/blog.truthscan.com\/nb\/wp-json\/wp\/v2\/posts\/5335\/revisions\/5343"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/nb\/wp-json\/wp\/v2\/media\/5339"}],"wp:attachment":[{"href":"https:\/\/blog.truthscan.com\/nb\/wp-json\/wp\/v2\/media?parent=5335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.truthscan.com\/nb\/wp-json\/wp\/v2\/categories?post=5335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.truthscan.com\/nb\/wp-json\/wp\/v2\/tags?post=5335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}