Атаки на Salesforce резко выросли в 20 раз — Google, Coca-Cola и Allianz пострадали

По данным исследования WithSecure, в первом квартале 2025 года количество атак на платформу управления взаимоотношениями с клиентами (CRM) Salesforce резко возросло. По сравнению с концом 2024 года выявлено в 20 раз больше подозрительных действий. Это указывает на то, что Salesforce стал важной мишенью для злоумышленников.

Методы проникновения

Атакующие активно используют документы и QR-коды как способы входа. Документы в формате Word составляют более двух третей всех подозрительных файлов, часто содержащих ссылки на фишинговые сайты или загрузки вредоносного ПО. Изображения, особенно с QR-кодами, занимают более четверти всех случаев. Такой метод эффективен из-за того, что платформа Salesforce ориентирована на совместную работу и обмен файлами. Документы, имитирующие счёт-фактуры или запросы подтверждения, воспринимаются как обычные, что снижает уровень подозрительности.

Использование доверия для обмана

Злоумышленники часто используют доверие пользователей к платформе. Поскольку Salesforce считается надёжной средой, пользователи склонны открывать прикреплённые файлы или сканировать QR-коды, особенно если они приходят в рамках привычных рабочих процессов. Ссылки в файлах часто ведут на фишинговые сайты, имитирующие известные бренды. В 2025 году злоумышленники применяли новые домены, схожие по написанию, сервисы сокращения ссылок и законные инфраструктуры, такие как сервис перенаправления Bing.

Проблемы с идентификацией атак

Особую сложность представляет выявление злоупотребления идентичностью. Вместо взлома паролей или обхода двухфакторной аутентификации, злоумышленники используют OAuth-токены, выданные через обычные авторизационные потоки. Например, пользователь может быть обманут на то, чтобы одобрить поддельное подключение приложения, что даёт злоумышленнику законный доступ к данным.

Атакующие также имитируют поведение пользователей, работая в обычное рабочее время и обращаясь к привычным объектам. Некоторые группы тестируют доступ, вынося небольшие объёмы данных, прежде чем переходить к более масштабным выгрузкам.

Большая часть инцидентов сосредоточена в Европе и Северной Америке — более 80% всех случаев. В Европе наибольшее количество атак пришлось на Великобританию. Это связано с тем, что фишинговые комплекты на английском языке доступны в большом количестве и требуют минимальной адаптации.

Значимые инциденты

В 2025 году были зафиксированы крупные инциденты, подчеркивающие масштабы угроз. Google сообщил о взломе одного из своих экземпляров Salesforce, в результате которого утекло более 2 миллионов записей потенциальных клиентов. Allianz Life пострадало от атаки, затронувшей 1,4 млн клиентов. Coca-Cola Europacific Partners сообщило об утечке более 23 млн записей. Также были зафиксированы утечки в сфере роскошных брендов, крупной розницы и авиаперевозок.

В большинстве случаев атаки не зависели от технических уязвимостей самой платформы Salesforce. Они опирались на украденные или неправомерно используемые учетные данные, социальную инженерию и злоупотребление доверенными приложениями. Это подчёркивает, что компрометация идентичности — одна из главных угроз в средах SaaS.

«Точка входа»: как доверие становится уязвимостью в цифровом бизнесе

В первом квартале 2025 года количество атак на платформу Salesforce увеличилось в 20 раз по сравнению с концом 2024 года. Это не просто рост статистики — это сигнал о новой реальности в киберпространстве, где доверие становится слабым местом, а не защитой. Salesforce, как и многие SaaS-сервисы, строит свою ценность на удобстве и открытости, что делает её особенно уязвимой для атак, использующих социальную инженерию и подмену контекста. Уязвимость не в технологии, а в людях — в их поведении, привычках и доверии к знакомым форматам.

Паттерн атак — это не случайность, а стратегия. Злоумышленники используют файлы Word и QR-коды, которые воспринимаются как безопасные и привычные. Это не просто технический приём — это использование психологического контекста. Когда сотрудники получают документ, который выглядит как счёт-фактура, они не подозревают, что за ним скрывается фишинговая ссылка или вредоносное ПО. Это подчёркивает, что основная угроза в SaaS-системах — не в их архитектуре, а в людях, которые ими пользуются. Атаки на Salesforce — это как бы «вход по доверительному доступу» — злоумышленники не взламывают, они входят, как будто они часть системы.

Самый опасный тип атак — это использование OAuth-токенов, что делает их почти незаметными для систем безопасности. Это не просто техническая трюк, а проблема архитектуры доверия, которая лежит в основе большинства SaaS-платформ. Злоумышленники не взламывают пароли — они получают доступ через легитимные потоки авторизации, имитируя поведение пользователей. Это означает, что традиционные методы безопасности, основанные на контроле доступа, становятся недостаточными. Атакующие обходят их не силой, а через доверие.

Для России это не просто внешний урок. В стране, где SaaS-технологии активно внедряются в бизнес и государственные структуры, такие атаки могут стать частью более широкой цифровой стратегии противников. Утечки данных в крупных компаниях (Google, Coca-Cola, Allianz Life) показывают, что атаки не ограничиваются одной страной. В Европе и Северной Америке — 80% атак — но это не значит, что Россия вне зоны риска. Наоборот, повышение цифровой активности в стране делает её потенциальной мишенью для подобных атак, особенно если не будет обеспечена должная киберподготовка сотрудников и адаптированы меры защиты.

Что дальше?

• Короткосрочная задача — повышение осведомлённости сотрудников о рисках, связанных с открытием файлов и QR-кодов. Это не техническая проблема, а образовательная.
• Среднесрочная задача — внедрение более строгих правил для OAuth-токенов, включая их ограничение по времени и по действиям.
• Долгосрочная цель — пересмотр модели доверия в SaaS-системах, переход к более строгим проверкам идентичности, не только в момент входа, но и в процессе работы.

Ключевой вывод: атаки на Salesforce — это не просто киберпроблема, а проблема доверия в цифровой среде. Чтобы защитить данные, нужно менять не только технологии, но и поведение пользователей. Это важный урок для всех, кто использует цифровые инструменты — в том числе для России, где переход к цифровой экономике требует не только инвестиций, но и глубокого понимания новых форм угроз.