{"id":5335,"date":"2025-10-08T12:40:51","date_gmt":"2025-10-08T12:40:51","guid":{"rendered":"https:\/\/blog.truthscan.com\/?p=5335"},"modified":"2026-03-06T10:12:23","modified_gmt":"2026-03-06T10:12:23","slug":"deepfake-hot-mot-salesforce","status":"publish","type":"post","link":"https:\/\/blog.truthscan.com\/sv\/deepfake-hot-mot-salesforce\/","title":{"rendered":"Deepfake-hotet mot Salesforce: N\u00e4r f\u00f6rtroende blir ett vapen"},"content":{"rendered":"

I juni 2025 fick en Google-anst\u00e4lld vad som verkade vara ett rutinsamtal fr\u00e5n IT-supporten.<\/p>\n\n\n\n

R\u00f6sten i luren l\u00e4t professionell, sj\u00e4lvs\u00e4ker och helt bekant.\u00a0<\/p>\n\n\n\n

Teknikern bad medarbetaren att godk\u00e4nna en ny app i f\u00f6retagets Salesforce-system.<\/p>\n\n\n\n

Inom loppet av n\u00e5gra minuter hade angriparna tillg\u00e5ng till och stal 2,55 miljoner kundregister fr\u00e5n Googles CRM-system.<\/p>\n\n\n\n

Det som gjorde detta m\u00f6jligt var anv\u00e4ndningen av deepfake audio-teknik, med AI-genererade r\u00f6ster som var s\u00e5 \u00f6vertygande att de lurade en av de mest p\u00e5litliga formerna av autentisering, att k\u00e4nna igen en kollegas r\u00f6st.<\/p>\n\n\n\n

Den h\u00e4r incidenten, som \u00e4r kopplad till gruppen ShinyHunters, visar hur angripare nu anv\u00e4nder artificiell intelligens f\u00f6r att bryta sig in i f\u00f6retagssystem.<\/p>\n\n\n\n

Salesforce, som utg\u00f6r ryggraden i kundrelationshanteringen f\u00f6r miljontals organisationer v\u00e4rlden \u00f6ver, har blivit ett av huvudm\u00e5len f\u00f6r en ny generation AI-drivna social engineering-attacker.<\/p>\n\n\n\n

Varf\u00f6r Salesforce blev ett Deepfake-m\u00e5l<\/strong><\/h2>\n\n\n\n

Salesforces tillv\u00e4xt har ocks\u00e5 gjort det till ett stort m\u00e5l f\u00f6r datast\u00f6ld.<\/p>\n\n\n\n

Eftersom allt \u00e4r centraliserat kan ett enda intr\u00e5ng exponera miljontals kundregister fr\u00e5n m\u00e5nga olika f\u00f6retag.<\/p>\n\n\n\n

Som WithSecures chef f\u00f6r Threat Intelligence Tim West noterar:<\/p>\n\n\n\n

\"Hackinggrupper som Scattered Spider anv\u00e4nder social engineering f\u00f6r att f\u00e5 tillg\u00e5ng till SaaS-milj\u00f6er. Deras attacker kan se tekniskt enkla ut, men det g\u00f6r dem inte mindre farliga.\"<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Enligt en ny unders\u00f6kning fr\u00e5n WithSecure \u00f6kade den skadliga aktiviteten i Salesforce-milj\u00f6er kraftigt under f\u00f6rsta kvartalet 2025, med en tjugofaldig \u00f6kning av antalet uppt\u00e4ckta fall j\u00e4mf\u00f6rt med slutet av 2024.<\/p>\n\n\n\n

Hur Deepfakes drev ett Salesforce-intr\u00e5ng<\/strong><\/h2>\n\n\n\n

Det som g\u00f6r de senaste attackerna s\u00e4rskilt farliga \u00e4r hur deepfake-tekniken har g\u00e5tt fr\u00e5n att vara ett nischverktyg till n\u00e5got som vem som helst kan anv\u00e4nda som vapen.<\/p>\n\n\n\n

Till skillnad fr\u00e5n traditionella dataintr\u00e5ng d\u00e4r man bryter sig in direkt i databaser anv\u00e4nder cyberbrottslingar nu r\u00f6stbaserad social engineering, eller \"vishing\". Med \u00f6kningen av deepfakes och AI-r\u00f6stkloning blir dessa attacker mycket sv\u00e5rare att uppt\u00e4cka.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

ShinyHunters kampanj mot Salesforce-kunder f\u00f6ljer en effektiv spelbok som kombinerar traditionell social ingenj\u00f6rskonst med banbrytande AI-bedr\u00e4geri:<\/p>\n\n\n\n

Fas 1: Insamling av r\u00f6stinformation<\/strong><\/h3>\n\n\n\n

Angripare b\u00f6rjar med att samla in ljudprov fr\u00e5n offentliga k\u00e4llor, presentationer av chefer, konferenssamtal, f\u00f6retagsvideor eller inl\u00e4gg p\u00e5 sociala medier. <\/p>\n\n\n\n

Med s\u00e5 lite som 20-30 sekunders tydligt ljud kan de skapa \u00f6vertygande r\u00f6stkloner.<\/p>\n\n\n\n

Fas 2: Deepfake Vishing-anropet<\/strong><\/h3>\n\n\n\n

Under ett vishing-samtal \u00f6vertygar angriparen offret att g\u00e5 till Salesforces anslutna appinstallationssida och godk\u00e4nna en falsk version av Data Loader-appen, f\u00f6rkl\u00e4dd med n\u00e5got f\u00f6r\u00e4ndrat varum\u00e4rke.<\/p>\n\n\n\n

Med det l\u00e5ter offret omedvetet angriparna stj\u00e4la k\u00e4nslig information fr\u00e5n Salesforce.<\/p>\n\n\n\n

Sofistikeringen \u00e4r anm\u00e4rkningsv\u00e4rd. I vissa fall anv\u00e4nde angripare deepfake-ljud f\u00f6r att utge sig f\u00f6r att vara anst\u00e4llda och \u00f6vertala helpdeskpersonal att godk\u00e4nna obeh\u00f6rig \u00e5tkomst. <\/p>\n\n\n\n

Detta inneb\u00e4r en betydande utveckling fr\u00e5n traditionellt r\u00f6stfiske, d\u00e4r angriparna helt enkelt l\u00e5tsades vara myndighetspersoner, till AI-f\u00f6rst\u00e4rkt imitation, d\u00e4r de faktiskt kan l\u00e5ta som specifika individer.<\/p>\n\n\n\n

Fas 3: Utnyttjande av OAuth<\/strong><\/h3>\n\n\n\n

N\u00e4r den skadliga applikationen har auktoriserats kringg\u00e5r angriparna multifaktorautentisering helt och h\u00e5llet. <\/p>\n\n\n\n

N\u00e4r den falska appen har godk\u00e4nts f\u00e5r angriparna l\u00e5nglivade OAuth-tokens, som g\u00f6r det m\u00f6jligt f\u00f6r dem att kringg\u00e5 multifaktorautentisering och arbeta utan att utl\u00f6sa normala s\u00e4kerhetsvarningar.<\/p>\n\n\n\n

Fas 4: Extrahering av tysta data<\/strong><\/h3>\n\n\n\n

Googles Threat Intelligence Group varnade f\u00f6r att en hotakt\u00f6r anv\u00e4nde ett Python-verktyg f\u00f6r att automatisera datast\u00f6ldprocessen f\u00f6r varje organisation som var riktad, med forskare som k\u00e4nner till \u00f6ver 700 potentiellt p\u00e5verkade organisationer.<\/p>\n\n\n\n

Varf\u00f6r vi \u00e4r s\u00e5rbara f\u00f6r AI-r\u00f6ster<\/strong><\/h2>\n\n\n\n

Attackerna utnyttjar ett grundl\u00e4ggande m\u00e4nskligt drag: v\u00e5r tendens att lita p\u00e5 vad vi h\u00f6r. <\/p>\n\n\n\n

Enligt en nyligen genomf\u00f6rd global studie s\u00e4ger 70 procent av befolkningen att de inte \u00e4r s\u00e4kra p\u00e5 att de kan identifiera en riktig r\u00f6st j\u00e4mf\u00f6rt med en klonad r\u00f6st.<\/p>\n\n\n\n

Denna s\u00e5rbarhet f\u00f6rv\u00e4rras i f\u00f6retagsmilj\u00f6er d\u00e4r helpdeskpersonal \u00e4r utbildad f\u00f6r att vara hj\u00e4lpsam och tillm\u00f6tesg\u00e5ende, och distansarbete har normaliserat interaktioner med enbart ljud.<\/p>\n\n\n\n

Enligt CrowdStrikes Global Threat Report 2025 \u00f6kade antalet r\u00f6stfiskeattacker (vishing) med 442% mellan f\u00f6rsta och andra halv\u00e5ret 2024, drivet av AI-genererade n\u00e4tfiske- och imitationstaktiker.<\/p>\n\n\n\n

V\u00e4ckarklockan f\u00f6r $25 miljoner<\/strong><\/h2>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n

Konsekvenserna av deepfake-f\u00f6rst\u00e4rkta attacker str\u00e4cker sig l\u00e5ngt bortom Salesforce. <\/p>\n\n\n\n

Deepfake-kuppen p\u00e5 $25 miljoner p\u00e5 ingenj\u00f6rsbyr\u00e5n Arup i b\u00f6rjan av 2024, d\u00e4r angripare anv\u00e4nde AI f\u00f6r att utge sig f\u00f6r att vara flera chefer under ett videosamtal, visade att ingen organisation \u00e4r immun mot detta hot. <\/p>\n\n\n\n

Liknande attacker har ocks\u00e5 riktats mot chefer i olika branscher, bland annat ett f\u00f6rs\u00f6k att utge sig f\u00f6r att vara Ferraris VD Benedetto Vigna med hj\u00e4lp av AI-klonade r\u00f6stsamtal som imiterade hans syditalienska accent.<\/p>\n\n\n\n

Dessa incidenter representerar vad s\u00e4kerhetsexperter kallar \"CEO fraud 2.0\", attacker som g\u00e5r l\u00e4ngre \u00e4n att bara utge sig f\u00f6r att vara en annan person via e-post och som skapar ett multisensoriskt bedr\u00e4geri som kan lura \u00e4ven erfarna chefer.<\/p>\n\n\n\n

Plattformss\u00e4kerhet kontra m\u00e4nsklig s\u00e5rbarhet<\/strong><\/h2>\n\n\n\n

Salesforce har varit snabba med att betona att dessa intr\u00e5ng inte representerar s\u00e5rbarheter i sj\u00e4lva plattformen. <\/p>\n\n\n\n

Salesforce bekr\u00e4ftade UNC6040:s kampanj i mars 2025 och varnade f\u00f6r att angripare utgav sig f\u00f6r att vara IT-support f\u00f6r att lura anst\u00e4llda att ge bort inloggningsuppgifter eller godk\u00e4nna skadliga anslutna appar. <\/p>\n\n\n\n

F\u00f6retaget betonade att dessa incidenter inte involverade eller h\u00e4rr\u00f6rde fr\u00e5n n\u00e5gra s\u00e5rbarheter i dess plattform.<\/p>\n\n\n\n

Detta visar en stor utmaning f\u00f6r alla SaaS-leverant\u00f6rer: att ta reda p\u00e5 hur man stoppar attacker som spelar p\u00e5 m\u00e4nskligt f\u00f6rtroende ist\u00e4llet f\u00f6r tekniska brister.<\/p>\n\n\n\n

Salesforce har genomf\u00f6rt flera f\u00f6rsvars\u00e5tg\u00e4rder:<\/p>\n\n\n\n

    \n
  • H\u00e4rdning av anslutna appar: Automatisk inaktivering av icke-installerade anslutna appar f\u00f6r nya anv\u00e4ndare<\/li>\n\n\n\n
  • Begr\u00e4nsningar av OAuth-fl\u00f6det: Inaktivera anslutningar som erh\u00e5llits med hj\u00e4lp av vissa auktoriseringsprocesser<\/li>\n\n\n\n
  • F\u00f6rb\u00e4ttrad \u00f6vervakning: F\u00f6rb\u00e4ttrad uppt\u00e4ckt av misst\u00e4nkta m\u00f6nster f\u00f6r auktorisering av applikationer<\/li>\n\n\n\n
  • Utbildning f\u00f6r anv\u00e4ndare: Publicera v\u00e4gledning om hur man k\u00e4nner igen f\u00f6rs\u00f6k till social manipulering<\/li>\n<\/ul>\n\n\n\n

    I augusti 2025 st\u00e4ngde Salesforce av alla integrationer med Salesloft-teknik, inklusive Drift-appen, efter att ha uppt\u00e4ckt att OAuth-tokens hade stulits i relaterade attacker. <\/p>\n\n\n\n

    S\u00e4kerhetsexperter varnar nu f\u00f6r att team m\u00e5ste lyssna efter subtila ledtr\u00e5dar, som udda pauser, bakgrundsljud eller ljudfel, som kan avsl\u00f6ja n\u00e4r en r\u00f6st har genererats av AI.<\/p>\n\n\n\n

    F\u00f6retagets svar: Bortom tekniska l\u00f6sningar<\/strong><\/h2>\n\n\n\n

    Organisationer b\u00f6rjar inse att f\u00f6rsvaret mot deepfake-f\u00f6rst\u00e4rkta attacker kr\u00e4ver mer \u00e4n tekniska l\u00f6sningar; det kr\u00e4ver en grundl\u00e4ggande ompr\u00f6vning av f\u00f6rtroende- och verifieringsprocesser.<\/p>\n\n\n\n

    Kommunikation utan f\u00f6rtroende<\/strong><\/h3>\n\n\n\n

    RealityCheck fr\u00e5n Beyond Identity ger varje deltagare en synlig, verifierad identitetsbricka som backas upp av kryptografisk enhetsautentisering och kontinuerliga riskkontroller, f\u00f6r n\u00e4rvarande tillg\u00e4nglig f\u00f6r Zoom och Microsoft Teams. <\/p>\n\n\n\n

    S\u00e5dana l\u00f6sningar inneb\u00e4r ett skifte mot \"lita aldrig, verifiera alltid\"-modeller f\u00f6r f\u00f6retagskommunikation.<\/p>\n\n\n\n

    F\u00f6rb\u00e4ttrade utbildningsprogram<\/strong><\/h3>\n\n\n\n

    Organisationer som anv\u00e4nder Resemble AI:s plattform f\u00f6r deepfake-simulering rapporterar upp till 90% f\u00e4rre framg\u00e5ngsrika attacker efter att ha implementerat plattformen, som anv\u00e4nder hyperrealistiska simuleringar f\u00f6r att illustrera hur deepfake-attacker utvecklas i den verkliga v\u00e4rlden.<\/p>\n\n\n\n

    Verifiering i flera kanaler<\/strong><\/h3>\n\n\n\n

    Ledande organisationer implementerar protokoll som kr\u00e4ver verifiering via flera kanaler f\u00f6r alla h\u00f6griskf\u00f6rfr\u00e5gningar, oavsett hur autentisk den ursprungliga kommunikationen verkar.<\/p>\n\n\n\n

    N\u00e4r r\u00f6sten inte l\u00e4ngre \u00e4r sanningen<\/strong><\/h2>\n\n\n\n

    Deepfake-hotet mot Salesforce och andra f\u00f6retagssystem utg\u00f6r en v\u00e4ndpunkt i cybers\u00e4kerhetshistorien. <\/p>\n\n\n\n

    F\u00f6r f\u00f6rsta g\u00e5ngen kan angripare inte bara utge sig f\u00f6r att vara myndighetspersoner; de kan faktiskt l\u00e5ta som dem, se ut som dem och \u00f6vertyga till och med utbildad s\u00e4kerhetspersonal att vidta \u00e5tg\u00e4rder som \u00e4ventyrar organisationens s\u00e4kerhet.<\/p>\n\n\n\n

    I en tid av AI-genererade bedr\u00e4gerier m\u00e5ste f\u00f6rtroende f\u00f6rtj\u00e4nas genom verifiering, inte antas genom k\u00e4nnedom.<\/p>\n\n\n\n

    F\u00f6retag som f\u00f6rst\u00e5r detta och investerar i r\u00e4tt verktyg, processer och kultur kommer att ha de b\u00e4sta f\u00f6ruts\u00e4ttningarna f\u00f6r att skydda b\u00e5de s\u00e4kerhet och f\u00f6rtroende i en alltmer os\u00e4ker digital v\u00e4rld.<\/p>\n\n\n\n

    I den h\u00e4r nya verkligheten \u00e4r r\u00f6sten i andra \u00e4nden av linjen kanske inte den som den verkar vara.<\/p>\n\n\n\n

    I en tid av deepfakes \u00e4r st\u00e4ndig vaksamhet priset f\u00f6r s\u00e4kerhet.<\/p>","protected":false},"excerpt":{"rendered":"

    I juni 2025 fick en Google-anst\u00e4lld vad som verkade vara ett rutinm\u00e4ssigt samtal fr\u00e5n [...].<\/p>","protected":false},"author":15,"featured_media":5339,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_lock_modified_date":false,"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[31],"tags":[],"class_list":["post-5335","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-helpful-ai-content-tips"],"_links":{"self":[{"href":"https:\/\/blog.truthscan.com\/sv\/wp-json\/wp\/v2\/posts\/5335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.truthscan.com\/sv\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.truthscan.com\/sv\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/sv\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/sv\/wp-json\/wp\/v2\/comments?post=5335"}],"version-history":[{"count":3,"href":"https:\/\/blog.truthscan.com\/sv\/wp-json\/wp\/v2\/posts\/5335\/revisions"}],"predecessor-version":[{"id":5343,"href":"https:\/\/blog.truthscan.com\/sv\/wp-json\/wp\/v2\/posts\/5335\/revisions\/5343"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/sv\/wp-json\/wp\/v2\/media\/5339"}],"wp:attachment":[{"href":"https:\/\/blog.truthscan.com\/sv\/wp-json\/wp\/v2\/media?parent=5335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.truthscan.com\/sv\/wp-json\/wp\/v2\/categories?post=5335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.truthscan.com\/sv\/wp-json\/wp\/v2\/tags?post=5335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}