Cyberkriminelle haben eine neuartige Angriffsmethode entwickelt, die selbst große Unternehmen wie Google ins Visier nimmt – über legitime Funktionen innerhalb von Salesforce. Diese Entwicklung zeigt, wie Angreifer moderne Cloud-Dienste missbrauchen, um ihre Phishing- und Social-Engineering-Attacken raffinierter denn je zu gestalten. Die Folgen können enorm sein – von gestohlenen Zugangsdaten bis zu massiven Reputationsschäden.
Wie Angreifer Salesforce ausnutzen – Einblicke in die neue Betrugsmethode
Im Frühjahr 2024 entdeckten Sicherheitsforscher des Unternehmens Netcraft eine raffinierte Phishing-Kampagne, bei der Hacker die von Salesforce generierten Domainnamen missbrauchten. Der Trick: Angreifer erstellten kostenlose Salesforce Community-Seiten (eine Art Kundenportal), über die dann offiziell aussehende, von „salesforce.com“ stammende Phishing-Links generiert wurden. Diese Links sahen für Laien und selbst für geübte Sicherheitsfachleute zunächst vertrauenswürdig aus.
Laut Netcraft bestand die Masche darin, dass Angreifer legitime Vorteile von Salesforce-Instanzen nutzten: Jede gehostete Community kann unter einer Salesforce-Subdomain laufen – etwa unternehmen.my.salesforce.com. Durch geschickte Registrierung und Anpassung gelang es den Betrügern, Domains wie account-update-login.my.salesforce.com zu erstellen, die dann E-Mail-Empfänger täuschten.
Diese Seiten konnten Login-Formulare enthalten, die zur Erfassung von Zugangsdaten führten. Sie waren mit gültigen TLS-Zertifikaten versehen und wurden von Browsern als sicher angezeigt. Damit unterliefen sie viele gängige Schutzmechanismen und Filter – und selbst Google wurde Opfer dieser Täuschung: Bei einer Phishing-Kampagne wurde Kunden des Konzerns über eine Salesforce-Domain eine bösartige Seite untergeschoben, wie Netcraft berichtete.
Warum diese Methode besonders gefährlich ist
Cyberattacken auf Basis vermeintlich legitimer Domains zählen zu den am schwersten zu identifizierenden Betrugsformen. Laut dem IBM Cost of a Data Breach Report 2024 wurde fast 30 % aller erfolgreichen Angriffe auf Unternehmen durch Phishing initiiert – ein Anstieg von 12 % gegenüber dem Vorjahr. Gleichzeitig nutzen über 150.000 Unternehmen weltweit Salesforce, darunter Börsenkonzerne, Behörden und Non-Profit-Organisationen.
Die Fähigkeit, über offiziell wirkende Subdomains zufällig generierte Phishing-Seiten zu hosten, macht diese Methode so tückisch. Zumal die gefälschten Seiten nicht auf externen Servern laufen – sie stammen direkt von Salesforce-Servern, was sie in der Wahrnehmung besonders legitim erscheinen lässt. Dadurch umgehen sie viele klassische Schutzschilde wie Blacklists oder E-Mail-Gateways.
Technischer Ablauf der Betrugsmasche
Die Vorgehensweise der Angreifer basiert auf einem ausgeklügelten Zusammenspiel von Funktionen innerhalb der Salesforce Experience Cloud:
- Eröffnung einer kostenlosen Salesforce-Community mit benannter Subdomain
- Konfiguration von benutzerdefiniertem HTML mit gefälschten Formularen
- Versand von Phishing-E-Mails oder SMS mit Domain-Links wie secure-login-reset.my.salesforce.com
- Benutzer geben Zugangsdaten ein, die direkt an die Täter geleitet werden
Da Salesforce dieselben Zertifizierungs- und Domainrichtlinien für alle gehosteten Communities anwendet, können diese Seiten kaum automatisiert blockiert werden – zumal kein externer Server involviert ist.
Sicherheitslücke oder Feature-Abuse?
Aus rein technischer Sicht handelt es sich nicht um eine Schwachstelle im klassischen Sinne. Vielmehr nutzen die Angreifer legitime Funktionen auf nicht-legitime Weise. Salesforce bietet Kunden die Möglichkeit, Public-Communities mit CI-konformer eigener URL zu erstellen – ein Feature, das nun gekapert wurde.
Ein Salesforce-Sprecher teilte Medien gegenüber im Juni 2024 mit, man habe Maßnahmen eingeleitet, um missbräuchliche Domains automatisiert zu erkennen und zu blockieren. Allerdings betonte man auch, dass Kunden selbst mitverantwortlich seien, ihre Communities zu schützen – etwa durch interne Richtlinien, Zugangskontrolle und regelmäßige Prüfung der erstellten Unterseiten.
Was Unternehmen jetzt tun können
Die Verantwortung für solche Exploits liegt nicht nur bei Salesforce selbst. Auch Unternehmen müssen proaktiv handeln, um derartige Betrugsversuche rechtzeitig zu erkennen und zu unterbinden. Folgende Maßnahmen sind besonders empfehlenswert:
- Monitoring der firmeneigenen Subdomains: Überwachen Sie regelmäßig alle von Ihrem Unternehmen genutzten Salesforce-Communities auf unerwartete oder bösartige Inhalte.
- Schulung und Awareness: Sensibilisieren Sie Mitarbeiter, Partner und Kunden mit Beispielen legitimitätssimulierender URLs – insbesondere bei Links mit salesforce.com.
- Setzen Sie auf DMARC und SPF/ DKIM: Absicherung Ihrer Mail-Gateways erschwert die Verbreitung solcher Phishing-E-Mails über interne Reputationssysteme.
Zudem sollten IT-Verantwortliche regelmäßig prüfen, welche externen SaaS-Services über Branding- oder Custom-URL-Funktionen verfügen – und ob diese missbraucht werden könnten. Die Konsolidierung auf zentrale Authentifizierungsplattformen wie Okta oder Azure AD kann dabei helfen, fragmentierte Login-Umgebungen zu vermeiden.
Fall Google: So wurde der Tech-Gigant ausgetrickst
Im Fall Google wurde im Mai 2024 eine gefälschte Sicherheitsüberprüfungskampagne registriert, bei der E-Mails angeblich vom Google Security-Team kamen – versehen mit Link zu einer legitimen Salesforce-Domain. Die Annahme: Ein Nutzer müsse „dringend“ sein Konto verifizieren. In Wirklichkeit landete man auf einer von Angreifern verwalteten Community-Seite mit perfektem Google-Design.
Besonders kritisch: Aufgrund der reinen Nutzung von HTTPS via Salesforce-Servern bekam der Link ein grünes Schlosssymbol im Browser und wurde bei vielen E-Mail-Clients nicht blockiert. Google reagierte mit einem kurzfristigen Take-Down – allerdings wurde die betroffene Domain erst 18 Stunden nach Erstmeldung deaktiviert.
Angriffe dieser Art sind kaum zu stoppen, sobald sie im Umlauf sind. Die Latenz zwischen Meldung und Take-Down bleibt ein gravierendes Problem – und könnte laut Verizon Data Breach Investigations Report 2024 in 47 % der digitalen Phishing-Fälle entscheidend zum Schaden beitragen.
Trends: Phishing via SaaS-Plattformen nimmt zu
Die Entwicklung steht exemplarisch für einen größer werdenden Trend: SaaS-basierte Angriffe nehmen rapide zu. Laut Proofpoint State of the Phish 2024 gaben 76 % der befragten Unternehmen an, dass Angriffe über bekannte Plattformen wie Microsoft 365, Google Workspace oder Salesforce zugenommen hätten. Besonders gefährlich: Diese Dienste genießen ein hohes Maß an Vertrauen bei Nutzern.
Darüber hinaus setzen neue KI-Technologien wie ChatGPT Kundenkommunikation für Betrugszwecke auf ein neues sprachliches Niveau, was E-Mail-basierte Social-Engineering-Attacken zusätzlich verschärft. In Kombination mit legitimen Domainnamen entsteht so ein fast perfektes Angriffsszenario.
Fazit: Sicherheitsarchitektur ganzheitlich denken
Das Beispiel Salesforce zeigt deutlich, wie raffiniert und flexibel Cyberkriminelle inzwischen agieren. Einfache Ansätze wie URL-Filterung reichen nicht mehr aus. Stattdessen braucht es einen mehrschichtigen Sicherheitsansatz, der auch SaaS-Plattformen korrekt einbezieht. Je klarer Unternehmen verstehen, wie User Trust missbraucht wird, desto präziser können sie Gegenmaßnahmen ergreifen.
Die Community ist gefragt: Welche Erfahrungen haben Sie bereits mit SaaS-basiertem Phishing gemacht? Nutzen Sie die Kommentarfunktion und tauschen Sie sich mit anderen IT-Verantwortlichen aus – denn nur gemeinsam können wir der neuen Bedrohungslage etwas entgegensetzen.
