駭客集團 ShinyHunters 持續針對 Salesforce 系統發動大規模攻擊,透過精密的社交工程手法成功入侵 Chanel、Pandora 等知名品牌,竊取大量客戶資料。這波攻擊突顯了 CRM 系統作為企業數位核心的重要性,以及強化其安全防護的迫切需求。
Salesforce 成為主要攻擊目標
近期 Chanel 和 Pandora 相繼披露的資料外洩事件,均指向攻擊者透過第三方平台存取客戶資料。安全專家分析,這些事件很可能是 ShinyHunters(UNC6040)集團針對 Salesforce 系統發動的大規模攻擊行動一環。
Pandora 在通知客戶的信件中表示,攻擊者透過「第三方平台」存取了姓名、生日和電子郵件等資料。Chanel 則表示,駭客透過「第三方服務供應商託管」的資料庫,竊取了姓名、電子郵件、住址和電話號碼。兩起事件的共同點都指向 Salesforce 系統遭到入侵。
語音網路釣魚(Vishing)攻擊
根據 Google 威脅情報部門的調查,ShinyHunters 集團採用極為精密的語音網路釣魚策略:
- 身分冒充:攻擊者冒充企業內部 IT 支援人員,透過電話聯繫目標員工
- 建立信任:利用事前蒐集的企業資訊,增加通話的可信度
- 獲取憑證:說服員工提供 Salesforce 登入憑證和多因素認證(MFA)權杖
- 植入後門:誘導員工安裝惡意版本的 Salesforce Data Loader 應用程式
Google 在最新報告中指出,ShinyHunters 的攻擊手法正持續升級。該集團已從原本使用惡意 Data Loader 應用程式的方式,轉向開發執行類似功能的 Python 腳本,提高攻擊的隱蔽性和靈活性。同時,攻擊者開始透過 TOR 網路隱藏其真實 IP 位址,增加追蹤難度。更值得關注的是,該集團可能正準備建立資料洩露網站來升級其勒索策略,這將大幅提升對受害企業的威脅程度。
此次攻擊行動的最大特點在於完全不依賴技術漏洞利用,而是將企業員工作為最薄弱的攻擊環節。攻擊者透過精心設計的社交工程手法,鎖定使用 Salesforce 系統的企業,展現出高度的針對性和專業性。這種攻擊模式的成功率極高,因為它繞過了傳統的技術防護措施,直接攻擊人性弱點。
受害企業持續擴大
除了 Chanel 和 Pandora,其他疑似遭到類似攻擊的知名企業還包括金融保險業的 Allianz Life、運動品牌 Adidas、澳洲航空公司 Qantas,以及數個 LVMH 旗下奢侈品牌。更令人驚訝的是,連 Google 自家的 Salesforce 執行個體也曾在短時間內遭到入侵,雖然該公司聲稱外洩資料僅限於基本商業資訊。
這波攻擊的受害企業橫跨時尚精品、金融保險、航空運輸、運動用品等多個產業,顯示攻擊者並非針對特定行業,而是將所有使用 Salesforce 系統的企業都視為潛在目標。這種無差別的攻擊策略突顯了 CRM 系統在現代企業中的核心地位,以及其所蘊含的豐富客戶資料價值。
Salesforce 安全防護關鍵措施
針對這波針對 Salesforce 的攻擊浪潮,資安專家建議企業採取以下防護措施:
存取控制強化
- 嚴格限制 Salesforce 應用程式安裝和核准權限
- 實施角色型存取控制(RBAC),限制員工資料存取範圍
- 採用數位憑證基礎的無密碼驗證機制
監控與偵測
- 持續監控 Salesforce 環境的異常登入行為
- 建立即時警報機制,偵測可疑的資料存取活動
- 對 Data Loader 等關鍵應用程式使用進行嚴格管控
員工教育訓練
- 加強社交工程攻擊的認知訓練
- 建立身分驗證流程,員工接到 IT 支援電話時應透過官方管道確認
- 定期進行模擬攻擊演練,測試員工的資安意識
技術防護措施
- 對 Salesforce 系統進行微分段處理
- 部署零信任架構,減少橫向移動風險
- 建立資料外洩防護(DLP)機制