語音釣魚攻略：UNC6040 語音釣魚組織的崛起

網路犯罪領域的新玩家

一個名為 UNC6040 的網路犯罪組織已成為社會工程領域的重要力量。經Google威脅情報團隊確認，該組織以經濟利益為導向，主要攻擊使用Salesforce （一款流行的雲端客戶關係管理 (CRM) 平台）的企業。 UNC6040 的獨特之處在於其專門使用語音釣魚（通常稱為「語音釣魚」）——一種利用電話中的人際互動誘騙員工洩露敏感資訊的手段。

網路威脅通常依賴軟體漏洞，而 UNC6040 則反其道而行之，將目標鎖定在系統背後的人員身上。該組織透過冒充內部 IT 支援人員，誘導員工在不知情的情況下入侵其所在組織。這種基於語音的親自動手操作方式增加了可信度，尤其是在遠距辦公時代，員工可能更習慣與陌生的支援人員交談。

社會工程與 Salesforce 的結合

UNC6040 攻擊活動的核心是一個精心設計的詭計，涉及一款名為「Data Loader」的 Salesforce 實用程式。該工具通常用於匯入和匯出大量資料。攻擊者對其進行修改，將其偽裝成「我的工單入口網站」等名稱，並引導受害者透過 Salesforce 官方介面進行授權。

一旦獲得批准，該惡意應用程式就會成為進入組織 CRM 環境的後門，使 UNC6040 能夠直接存取寶貴的客戶資料。欺騙行為遠不止於此。攻擊者經常利用這個立足點橫向擴展，進而入侵其他內部系統，例如 Okta、Microsoft 365 和 Workplace。這會產生骨牌效應——從一通電話開始，最終導致大範圍的資料外洩。

不僅僅是資料竊取

UNC6040 活動的後果遠不止於竊取資料。在某些情況下，該組織或其關聯機構會在數月後再次利用竊取的資訊作為籌碼，提出勒索要求。為了進一步施壓，他們聲稱與知名駭客組織ShinyHunters有聯繫，儘管尚未證實其與該組織的直接關聯。

這種延遲勒索策略表明，攻擊者可能與其他網路犯罪分子合作，採取了精心策劃的手段。這也凸顯了此類資料外洩帶來的長期風險。企業可能在最初入侵後很長一段時間才會感受到全面影響，這給了攻擊者時間來探索被盜資料的價值和潛在用途。

並非孤立的威脅

UNC6040 並非憑空運作。其手法與其他網路犯罪集團（例如 Scattered Spider）有重疊，後者隸屬於一個名為 The Com 的鬆散網路。這些聯繫表明，語音釣魚已成為受經濟利益驅動的網路犯罪分子常用的手段。

尤其值得注意的是，這些犯罪集團如何將傳統的網路釣魚技術應用於現代職場動態。由於許多公司依賴遠端IT支援和外包服務台，電話中出現陌生聲音已不再是危險訊號。遠端互動的常態化為攻擊者提供了更大的操作空間。

為什麼現在這很重要

Salesforce 意識到日益嚴重的威脅，於 2025 年 3 月發出警告，提醒客戶警惕這些攻擊手段。該公司表示，沒有證據顯示其平台有漏洞。相反，這些攻擊的重點在於利用個人用戶缺乏網路安全意識。在所有報告的案例中，攻擊者都使用了社會工程（而非技術漏洞）來突破防禦措施。

這項發展凸顯了網路安全格局的轉變。隨著科技平台不斷強化系統，攻擊者正將注意力轉向更脆弱的目標：人。語音網路釣魚將傳統欺騙手段與現代工具結合，證明即使是高科技環境也容易受到低技術含量的操縱。

組織如何應對

UNC6040 的興起對各種規模的企業都敲響了警鐘。雖然防火牆和防毒工具仍然必不可少，但它們無法抵禦令人信服的電話攻擊。員工教育如今已成為關鍵的防線。企業必須培訓員工識別危險信號，例如意外的 IT 請求、異常的應用程式授權或快速採取行動的壓力。

此外，技術保障措施（例如應用程式審批工作流程、多因素身份驗證和受限存取控制）有助於控制社交工程攻擊得逞後的後果。監控異常應用程式活動並加強 Salesforce 等平台的整合權限如今已成為必需，而非可有可無。

底線

UNC6040 代表著一種日益增長的網路威脅，它們攻擊的是信任和人類行為，而非軟體缺陷。它的活動提醒我們，網路安全不僅僅是一項技術挑戰，更是人為挑戰。隨著語音釣魚策略日益複雜，組織必須在意識和技術上投入同等的資金來防禦這些威脅。這番呼籲聽起來像是在尋求幫助，但正如 UNC6040 所表明的那樣，這可能是更有害後果的開端。