全球房地产巨头遭语音钓鱼攻击
全球最大商业地产公司之一科曼韦克菲尔德(Cushman & Wakefield)已确认发生一起与语音钓鱼(即"vishing")攻击相关的数据安全事件。两个独立的网络犯罪组织相继声称对此负责:ShinyHunters称其窃取了包含个人身份信息(PII)的50万条Salesforce记录,而Qilin勒索软件组织则独立宣称对该公司发动了另一起攻击。目前尚不清楚这两起事件是同一协同行动还是两次独立入侵,但此次事件揭示了一个令人忧虑的现实:即便是拥有雄厚IT资源的组织,也可能因一通令人信服的电话而遭到攻破。
科曼韦克菲尔德将此次事件描述为"有限"范围的安全事故,但与主要云端CRM平台相关的50万条记录泄露绝非小事。Salesforce环境中通常存储着联系人信息、交易历史以及敏感商业通信。对于一家在全球范围内开展商业地产交易的公司而言,面临风险的数据可能波及客户、合作伙伴以及远超公司内部员工数量的交易对手方。
为何语音钓鱼能绕过技术防御
语音钓鱼攻击之所以格外危险,在于它能绕过大多数组织重金投入的技术管控措施。当攻击者只需拨打一通电话,便能令人信服地冒充IT支持人员、供应商或高管时,防火墙、终端检测和网络监控便基本形同虚设。攻击者的目标是操控人,而非机器,而人远比机器难以"打补丁"。
在典型的语音钓鱼场景中,来电者制造紧迫感、建立虚假可信度,引导目标交出凭据、授权账户变更,或点击安装恶意软件的链接。一旦攻击者掌握了Salesforce等平台的有效凭据,便可在环境中悄然移动,在不触发明显告警的情况下批量窃取记录。此次针对科曼韦克菲尔德的攻击延续了多个行业中已见过的模式:以社会工程学作为突破口,以云端数据作为攻击目标。
这正是仅凭技术安全措施远远不够的原因所在。员工安全意识培训、针对敏感请求的严格核验流程,以及围绕凭据变更制定清晰规范,其重要性丝毫不亚于任何软件管控手段。将安全问题视为纯粹技术问题的组织,正在其防御体系中留下一个"人为漏洞"。
构建多层次通信安全体系的必要性
科曼韦克菲尔德事件引发了一个更深层的问题:企业如何处理敏感通信。当访问存储数十万条记录的系统的权限可以通过一通电话授予时,这意味着通信渠道本身已成为攻击面的一部分。加密、经过验证的通信渠道为攻击者设置了额外的阻力,同时也留下了未加密电话通话所不具备的审计记录。
安全通信实践在组织的每个层级都至关重要。这包括:使用加密消息进行内部协调、确保远程员工通过安全且经过身份验证的连接访问敏感系统,以及在执行任何涉及凭据或系统访问的请求之前,建立带外核验步骤。这些实践并非大型企业的专利:任何规模的企业,只要在云平台上处理客户个人身份信息,都面临着同样的根本性风险敞口。
ShinyHunters组织此前曾与多个领域的高知名度数据泄露事件有所关联,近期在针对云端托管数据库方面愈发活跃。他们据称通过Telegram频道公开宣布对科曼韦克菲尔德的攻击声明,凸显出此类行动已变得多么公开和肆无忌惮。与此同时,Qilin单独声称参与其中,表明要么该公司遭到多个行为者利用同一初始访问权限的攻击,要么是该勒索软件组织出于机会主义目的声称参与,以此向公司施压要求其支付赎金。
这对您意味着什么
对于个人而言,最直接的担忧是您的信息是否在据称被泄露的50万条Salesforce记录之中。如果您曾作为客户、租户或商业合作伙伴与科曼韦克菲尔德有过往来,建议密切监控账户是否存在异常活动,并警惕可能利用您的个人信息来显得合法可信的后续钓鱼攻击。
对于组织而言,此次事件是一个契机,促使其审视云端CRM平台访问权限的授予与撤销机制。需要思考的关键问题包括:员工能否仅凭一通电话请求就授权凭据变更或数据导出?针对敏感操作的核验步骤是否已形成文档并得到一贯执行?您的事件响应计划是否将社会工程学纳入了攻击入口向量?
科曼韦克菲尔德数据泄露事件提醒我们:安全文化与安全工具同等重要。任何技术投入都无法完全弥补员工缺乏识别和上报可疑来电培训所带来的缺口。
可操作的建议:
- 专门针对语音钓鱼战术对员工开展培训,而不仅仅是电子邮件钓鱼培训。语音攻击需要不同的识别技能。
- 对任何涉及凭据、账户变更或批量数据访问的请求实施多步骤核验,无论来电者听起来多么合法可信。
- 审计哪些人拥有Salesforce等云平台的访问权限,并应用最小权限原则:用户应仅能访问其真正需要的内容。
- 为员工建立一个清晰、可信的内部渠道,供其在执行可疑请求之前进行核实。
- 监控CRM和云存储环境中的异常数据导出活动,因为大规模记录访问行为通常在数据外泄完成之前便可被检测到。
人为因素依然是企业安全中被利用最多的漏洞。弥合这一缺口需要在人员、流程和经验证的通信实践上持续投入,而不仅仅是依赖更好的软件。
