באמצע 2025 התחיל כאוס, נפרץ Salesforce בעשרות חברות ענק בעולם – Adidas, Google, Louis Vuitton, Cisco, אפילו Air France – כולם נדפקו באותה מתקפה מתואמת. זה לא היה 0day או exploit ואפילו לא wizard שעוקף את ה-WAF. זה פשוט social engineering, מבית היוצר של הקואליציה Scattered Spider, LAPSUS$, ו-ShinyHunters שהתאחדו תחת שם אחד – Scattered Lapsus$ Shiny Hunters. שלוש חיות סייבר שונות שהחליטו לרוץ ביחד. Scattered Spider, עם כל ה-SIM-swapping וה-vishing שלהם, LAPSUS$ מומחי ההדלפות ו-ShinyHunters עם הקשרים וה-data sales שלהם. זה התחיל בתור ערוץ טלגרם ב-8 באוגוסט/ומהר מאוד הפך לאימפריה קטנה של דליפות, איומים וטרולינג. הם אפילו דיברו על השקת RaaS חדש בשם "shinysp1d3r". לא מדובר בילדים אלא באנשים שיודעים לקרוא אנשים אחרים. הם מתחזים בדרך כלל למחלקת IT פיקטיבית עם קולות שנשמעים אנושיים ובוטים עם voice synthesis שמתקשרים לעובדים ומבקשים מהם "לאפס MFA". אין exploit, אין keylogger – יש טלפון.
הם מתקשרים לעובדים, מתחזים לתמיכה טכנית, מבקשים מהם לגשת ל-/setup/connect ב-Salesforce ולהכניס קוד לאפליקציה "חדשה של החברה" רק שבפועל האפליקציה הזאת שולחת את כל ה-OAuth tokens ישירות אליהם, עקיפה של MFA עם גישה מלאה למידע עסקי, לקוחות, שרתים, CRM. חברת Google וה-FBI פרסמו אזהרות. Scattered Spider דואגים ל-initial access כש-ShinyHunters אחראים על ה-data theft ו-LAPSUS$ דואגים לרעש התקשורתי, כל אחד עושה את שלו. בשלב מסוים הם אפילו בנו Data Leak Site משלהם – גרסה מחודשת של BreachForums תחת המותג החדש. טיימר דופק, countdown לפני הדליפה הבאה.
מאחורי כל זה עומד משהו יותר גדול, רשת שנקראת "The Com" – בפועל קהילה של חבר'ה צעירים שמשתפים כלים, עושים trade על גישה, מחליפים טכניקות… שם נולדים הקמפיינים, שם מתחילים השמות שכולם אחר כך חוקרים. כל אחד מהם עובד לפי כלל פשוט: תמצא ארגון עם הרבה דאטה, Helpdesk, תתקשר, תשכנע, תיכנס. ולא משנה אם זה Salesforce, Okta, או כל מוצר אחר – הם ימצאו את הדרך. זה לא קמפיין רגיל – זו האבולוציה של Social Engineering. הם לא פורצים למערכות – הם פורצים לבני אדם והעולם עוד לא למד איך לסגור את זה. 😏