一个名为UNC6040的黑客组织以经济利益为目的，正在使用一种简单但有效的策略来入侵企业环境：拿起电话假装是IT支持人员，简称为语音网络钓鱼(Vishing)。

根据谷歌威胁情报小组(GTIG)的最新报告，该攻击者一直在通过电话进行社交工程攻击，冒充内部技术人员。他们的目标是诱骗员工（主要在跨国公司英语分支机构）授予敏感系统的访问权限，尤其是Salesforce，一个广泛使用的客户关系管理(CRM)平台。

UNC6040并非依赖于漏洞利用或安全漏洞，而是依赖于人为错误。攻击者会致电员工，指导他们批准Salesforce内部连接的应用程序。但这并非普通的应用程序，通常是Salesforce合法数据加载器工具的修改版本。

有了这种访问权限，攻击者就可以查询并提取目标组织的海量数据。在某些情况下，他们会将该工具伪装成“我的工单门户”，这个名称与该骗局的IT支持主题相符。

一旦获得访问权限，UNC6040就会分阶段提取数据。有时，他们会先从少量数据开始，使用测试查询和有限的批量大小来规避检测。如果最初的探测没有被察觉，他们就会扩大规模，开始大规模的数据泄露。

有趣的是，数据盗窃并不总是会导致立即索要赎金。在几起事件中，受害者几个月后才收到勒索信息。在这些信息中，攻击者声称自己与知名黑客组织ShinyHunters有关，此举可能旨在加大对受害者的压力，迫使他们支付赎金。

这种延迟的做法暗示，UNC6040可能正在与其他专门窃取数据牟利的犯罪分子合作。无论他们是在出售访问权限，还是将数据交给后续攻击，这种长时间的停顿都会使安全团队的事件检测和响应更加复杂。

虽然主要目标是Salesforce，但该组织的野心远不止于此。一旦获得授权，UNC6040便会渗透进企业系统，并瞄准Okta和Microsoft 365等平台。这种更广泛的访问权限使他们能够收集更多有价值的数据，增强其影响力，并为未来的勒索行为积累筹码。

GTIG建议采取一些明确的措施来降低此类违规行为发生的可能性。首先，限制哪些人有权访问Data Loader等强大的工具，只有真正需要的用户才应拥有权限，并且应定期审查这些权限。管理哪些连接的应用程序可以访问您的Salesforce设置也很重要；任何新应用程序都应经过正式的审批流程。

为了防止未经授权的访问，尤其是来自使用VPN的攻击者的访问，登录和应用授权应限制在受信任的IP范围内。监控是另一个关键环节，像Salesforce Shield这样的平台可以实时标记并应对大规模数据导出。虽然多重身份验证(MFA)并不完美，但它在保护账户方面仍然发挥着重要作用，尤其是在用户接受过相关培训，能够识别试图绕过身份验证的网络钓鱼电话等伎俩的情况下。