科技巨擘Google證實其內部使用的Salesforce客戶資料庫遭到駭客入侵，導致部分中小型企業客戶資料外洩。這起事件引起了業界的高度關注，不僅因為攻擊對象是全球頂尖的科技公司，更因為駭客所使用的手法——「語音網路釣魚」（Vishing）[註]，是一種精巧且難以防範的社交工程技術。

[註]語音網路釣魚詐騙 (Vishing) 是一種利用電話進行的詐騙，詐騙者會透過語音電話來騙取你的個人敏感資訊。這個詞是由「語音 (Voice)」和「網路釣魚 (Phishing)」這兩個單字結合而成的。網路釣魚通常是透過電子郵件進行，而語音網路釣魚則是透過電話。

此次攻擊的幕後黑手是一個名為「ShinyHunters」的駭客組織，他們也被稱為「UNC6040」。該組織並未採用傳統的技術性漏洞入侵，而是將目標鎖定在「人」身上。他們假扮成公司的IT技術支援人員，透過電話與Google的員工取得聯繫。在電話中，駭客以緊急且看似合理的理由，誘騙該名員工授權一個惡意應用程式。這個應用程式被偽裝成一個合法的內部工具，一旦員工上當並給予授權，駭客便獲得了存取Salesforce資料庫的權限，成功竊取了資料。

受影響的資料主要包括Google中小型企業客戶的名稱、聯絡方式以及相關備註。雖然Google官方聲明被盜資料屬於「基本且大部分公開可取得」的內容，並且表示入侵事件已迅速得到遏制，但這起事件依然敲響了警示。它顯示了即使是擁有最先進技術防禦的企業，其員工仍然可能成為網路釣魚攻擊的薄弱環節。

ShinyHunters組織並非首次犯案。近年來，他們已與多起重大資料外洩事件有所關聯，包括西班牙的桑坦德銀行（Santander）、全球票務巨頭Ticketmaster，以及奢侈品牌香奈兒（Chanel）等。這些攻擊事件皆以類似的社交工程或供應鏈攻擊為核心，顯示該組織的策略正在不斷演變，且對全球企業構成持續的威脅。

針對此次事件，Google已迅速採取應對措施，包括加強其系統安全、通知受影響的客戶，並提供相關建議。這起事件再次突顯出，企業必須加強對員工的資安培訓，尤其是在辨識和防範社會工程攻擊方面。同時，實施多因素認證（MFA）和更嚴格的存取控制，對於降低這類風險至關重要。企業不能再僅僅依賴技術防禦，更需要建立一個強大的「人為防火牆」，讓每一位員工都成為保護公司資料的第一道防線。

資料來源：https://hackread.com/google-salesforce-data-breach-shinyhunters-vishing-scam/