在一个充满竞争与创新的商业世界中，数字安全的重要性愈发凸显。然而，黑客不断推出新方法，利用人性脆弱的一面给人们带来威胁。最近，黑客们通过语音钓鱼（Vishing）的手段，成功侵入Salesforce的多个客户，窃取了大量敏感数据。这一事件不仅揭示了安全漏洞的危险性，更暴露了企业在网络安全意识方面的不足。

在这一系列攻击中，黑客以企业IT技术支持人员的身份打电话给多国跨国公司的员工。他们通过误导性的社交工程，诱使员工打开Salesforce的连接应用设置页面，并输入一种看似无害的八位数字代码。一旦员工完成这一步骤，黑客就能将其所控制的恶意“数据加载器”与被害者的Salesforce环境连接，从而获得神秘的通路，甚至在短时间内窃取大量的敏感数据。

这种攻击的复杂性在于，黑客不仅仅满足于获得Salesforce的数据。他们还利用窃取的凭证对其他平台进行深入渗透，例如Okta、Microsoft 365和Workplace，使得攻击的影响范围不断扩大。这些攻击显示出即便是最安全的系统，也可能因为人类的失误而被破解。

实际上，这一事件并非孤立。研究人员追踪的黑客集团UNC6040，专注于针对讲英语的国家和大型跨国公司的员工进行攻击。在这场为期几个月的攻击活动中，UNC6040通过伪装成IT支持人员，成功诱骗员工提供敏感的访问权限。根据Google威胁情报组（GTIG）的研究表明，UNC6040并未利用Salesforce平台的任何内在漏洞，而是完全依赖于人类用户的缺陷。

这种攻击策略的根本原因在于黑客发现了企业员工对安全知识的不充分理解，以及在面对真实的技术支持调用时的脆弱感。这种脆弱性正是黑客利用社交工程技巧的突破口。正如Salesforce强调的那样，“我们平台的每一部分都内置了企业级的安全性，而这一安全问题并不源于任何固有的漏洞。”

数据加载器工具本身是Salesforce提供的一个批量数据管理工具，使用户能够在平台上导入、导出、更新、大量删除或插入记录。黑客通过欺骗员工以正确的技术流程打开连接应用设置页，进而将恶意版本的工具与其账户链接。这样一来，只需几次简单的操作，黑客便可以在未经授权的情况下访问大量的客户数据。

在攻击成功获取Salesforce数据后，UNC6040逐步向其他云服务横向移动，进而扩大攻击范围。研究表明，有些情况下，黑客的勒索尝试甚至在最初入侵几个月后才浮出水面，显示出他们可能会出售或转手处理被盗数据，进一步加剧了安全威胁的复杂性。

针对这一事件，GTIG提出一种安全建议，即尽管像Salesforce这样的云平台提供了强大的内置保护，但用户有责任妥善配置访问、管理权限以及根据最佳实践对用户进行培训。这种“共享责任”模式意味着企业必须采取必要措施，在技术防御与人力防线之间找到平衡。以下是一些实现安全的建议：

• 遵循最小权限原则：确保员工仅能访问其工作职能所必需的信息。
• 监控对连接应用的访问：定期审核和监测应用程序的授权和使用情况。
• 强制执行基于IP的访问限制：严格限制外部网络对企业内部系统的访问。
• 实施多因素认证（MFA）：通过增加身份验证步骤来提升账户安全性，以降低风险。

最终，这一事件的教训提醒我们：无论技术多么先进，人的因素始终是最大的安全隐患。只有通过持续的安全培训和敏感意识教育，才能降低企业暴露于同类攻击之下的风险。 人们的警觉性是网络安全的第一道防线，这种意识也需要在日常工作中不断培养与提升。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！