近期資安界觀察到一波針對Salesforce客戶的協同攻擊行動，，這些攻擊的特別之處在於，駭客並非利用平台本身的技術漏洞，而是鎖定「人」這個最脆弱的環節。他們透過高度擬真的社交工程手法，特別是語音釣魚（vishing），成功誘騙企業員工，使其在無意中將敏感資料的存取權限交給了攻擊者，對企業的客戶資料與聲譽構成嚴重威脅。

此類攻擊的核心風險在於其高度的欺騙性與針對性。駭客會偽裝成公司的IT支援人員，主動打電話給員工，聲稱需要協助處理某項技術問題。在通話過程中，他們會引導員工前往一個偽造的Salesforce設定頁面，並誘騙他們安裝一個被修改過的惡意版「Data Loader」應用程式。一旦員工授予權限，駭客便能透過這個惡意程式，直接從企業的Salesforce環境中查詢並竊取大量敏感資料。這種手法繞過了許多傳統的電子郵件安全防護，因為攻擊是透過電話與惡意應用程式而非釣魚郵件發動的。

最直接的影響是客戶資料的大規模外洩，可能包含姓名、聯絡方式、消費紀錄等，這不僅會對客戶的個人隱私造成侵害，也將使企業面臨鉅額的法規罰款與法律訴訟。其次，這種攻擊會嚴重損害企業的品牌聲譽。當客戶發現他們的資料是在企業內部員工被欺騙的情況下外洩，將對公司的信任度大打折扣。長遠來看，這將導致客戶流失，並影響企業的市場地位。最後，駭客在取得資料後，還可能進行勒索或二次攻擊，使企業陷入更複雜的困境。

為應對此類以人為弱點的攻擊，企業應採取多管齊下的防護策略。首要就是嚴格強制員工啟用多因素認證（MFA）為基本政策及資安意識培訓，特別是在存取如Salesforce等關鍵業務系統。培訓內容應包含如何辨識可疑電話、絕不輕易授予任何應用程式權限、以及在面對可疑要求時應如何與IT部門進行驗證。最後，企業應限制應用程式的安裝權限，並定期審查Salesforce環境中已安裝的「連接應用程式」（Connected Apps），確保只有經過授權的合法應用程式能夠存取資料。

資安防護不僅是技術問題，更是一場與人性和信任的長期博弈。駭客正利用人類的善意與信任，繞過日益先進的技術防護。因此，企業除了強化技術層面的安全措施外，更應將員工視為防護網的一部分，透過持續的教育與制度管理，賦予他們辨識與抵禦威脅的能力。只有將「人」納入資安策略的核心，並建立起技術與人為防護並重的混合式防線，才能有效抵禦不斷演變的社交工程攻擊，確保企業與客戶的資料安全。

資料來源：https://www.bleepingcomputer.com/news/security/fashion-giant-chanel-hit-in-wave-of-salesforce-data-theft-attacks/