Fransız lüks moda evi Chanel, Salesforce Müşteri İlişkileri Yönetim Sistemleri aracılığıyla büyük şirketleri hedefleyen sofistike bir siber suç kampanyasının en son kurbanı oldu.
Şirket, 25 Temmuz 2025’te yetkisiz tehdit aktörlerinin müşteri bakım merkezleriyle iletişim kuran ABD müşterilerinin kişisel bilgilerini içeren bir veritabanını ihlal ettiğini doğruladı.
İhlal, isimler, e -posta adresleri, posta adresleri ve Chanel’in ABD Müşteri Bakım Merkezi ile temasa geçen bireylerin telefon numaraları dahil olmak üzere sınırlı ancak hassas müşteri verilerini ortaya çıkardı.
WWD raporuna göre, önemli olarak, saldırıda hiçbir finansal bilgi, ödeme verisi veya dahili operasyonel sistemlerden ödün verilmedi.
Chanel ihlali, 2025’in başından beri birden fazla sektörde Salesforce örneklerini sistematik olarak hedefleyen kötü şöhretli Shinyhunters gasp grubu tarafından düzenlenen kapsamlı bir siber suç dalgasında sadece bir olayı temsil ediyor.
Kampanya, Qantas, Allianz Life, LVMH yan kuruluşları Louis Vuitton ve Dior, Tiffany & Co. ve Adidas gibi benzeri görülmemiş bir büyük marka listesini etkiledi.
Bu koordineli saldırı, siber suçluların şirketlerin birincil güvenlik savunmalarını doğrudan ihlal etmeye çalışmak yerine giderek daha fazla bulut tabanlı müşteri ilişkileri yönetimi platformlarına odaklandığı gelişen tehdit manzarasını göstermektedir.
Saldırılar, Amerika Birleşik Devletleri, Birleşik Krallık, Güney Kore, Türkiye, İtalya ve İsveç’teki müşterileri etkileyen birden fazla ülkeyi kapsadı.
UNC6040 olarak Google’ın Tehdit İstihbarat Grubu tarafından izlenen Shinyhunters Grubu, Salesforce ortamlarından ödün vermek için son derece sofistike sesli kimlik avı (vishing) teknikleri kullandı.
Saldırganlar, BT destek personelini, genellikle çokuluslu şirketlerde İngilizce konuşan personeli hedefleyen çalışanlara ikna edici telefon görüşmelerini desteklemektedir.
Bu sosyal mühendislik saldırıları sırasında, kurbanlar Salesforce’un Bağlı Uygulama Kurulum sayfasını ziyaret etmek ve meşru veri yükleyici uygulamasının kötü niyetli bir sürümünü yetkilendirmeye yönlendirilir.
Hileli uygulama, saldırganlara doğrudan Salesforce ortamlarından sorgu ve hassas müşteri verilerini sorgulamak ve genişletmek için kapsamlı erişim sağlarken, şüpheden kaçınmak için “Bilet Portalım” gibi isimler altında yeniden markalandırılır.
Saldırı metodolojisi tutarlı bir model izler:
- Saldırganlar, iç şirket bilgilerini toplamak için otomatik telefon sistemlerini kullanarak keşif yaparlar.
- Daha sonra doğrudan hedeflerle birlikte, dahili BT destek personeli olarak poz veriyorlar.
- Mağdurlar, kötü niyetli bağlı uygulamayı yüklemek için görünüşte meşru süreçlerle yönlendirilir.
- Yetkilendirildikten sonra, uygulama Salesforce’un kendi veri yükleyici işlevselliğini kullanarak toplu veri çıkarma işlemini sağlar.
- Saldırganlar genellikle OKTA ve Microsoft 365 gibi ek bulut hizmetlerinden ödün vermek için yanal olarak hareket ederler.
Kampanya, moda ve lüks mal sektörüne karşı özel bir başarı gösterdi ve birden fazla LVMH markası birbirinden haftalar içinde kurban düştü.
Allianz Life Insurance, 16 Temmuz saldırısının 1,4 milyon ABD müşterisinin çoğunu etkilediğini bildirirken, Qantas 6 milyona kadar müşteri kaydının potansiyel olarak tehlikeye atıldığını açıkladı.
Chanel, etkilenen müşterileri doğrudan bilgilendirmeye başladı ve dış siber güvenlik uzmanlarını olayı kapsamlı bir soruşturma yürütmeye çalıştı.
Şirket ayrıca, geçerli düzenlemelerin gerektirdiği şekilde ilgili kolluk kuvvetlerine ve veri koruma yetkililerine ihlal ettiğini bildirmiştir.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches