根據最新消息，美國網路設備巨頭思科（Cisco）於2025年8月5日揭露一項資料外洩事件，源自針對公司代表的聲音釣魚（vishing）攻擊。該事件於7月24日被發現，攻擊者通過欺騙一名員工，成功存取思科使用的第三方雲端客戶關係管理（CRM）系統，竊取了註冊於Cisco.com用戶的個人資料。外洩資訊包括姓名、組織名稱、地址、思科分配的用戶ID、電子郵件地址、電話號碼及帳戶相關元數據（如建立日期）。幸好，思科強調，攻擊者未獲取組織客戶的機密或專有資訊、密碼或其他敏感資料，且事件未影響產品或服務。

攻擊發生後，思科立即終止了攻擊者對CRM系統的存取，並展開調查。初步分析顯示，資料外洩限於單一CRM系統實例，未波及其他系統。雖然思科尚未公布受影響用戶的具體數量，但事件可能與近期針對Salesforce CRM的連續攻擊浪潮有關，專家懷疑與ShinyHunters勒索團體有關。該團體近期針對多家企業發動類似攻擊，包括Adidas、Qantas及Allianz Life等。

為防止類似事件重演，思科正實施進一步安全措施，包括對員工進行重新教育，強化識別與防範聲音釣魚攻擊的能力。企業用戶被建議密切監控相關帳戶活動，並考慮啟用雙重認證（2FA）以增強安全防護。專家指出，聲音釣魚攻擊利用社工技術，難以通過傳統防火牆防禦，需結合員工培訓與技術手段應對。

此事件凸顯了供應鏈資安的脆弱性，特別是依賴第三方服務時的風險。雖然未造成重大損失，但外洩的個人資料可能被用於後續釣魚或身份詐騙。思科承諾與資料保護機構合作，並依法通知受影響用戶。對企業而言，此案提醒需定期審查第三方供應商的安全性，並建立應急機制。

企業應吸取思科事件教訓，加強對聲音釣魚等新型攻擊的防範，並確保與第三方合作時簽訂嚴格的資安協議。隨著網路犯罪手法日益進化，及早更新安全策略與員工意識，將是保護資料安全的關鍵。

資料來源：https://www.bleepingcomputer.com/news/security/cisco-discloses-data-breach-impacting-ciscocom-user-accounts/