[警惕] 假冒"技术支持电话"被用于入侵您的Salesforce账户

Google的Mandiant团队发布了针对当前针对组织Salesforce实例的社会工程攻击浪潮的防御指南。

被Google追踪为"UNC6040"的有组织犯罪团伙一直在使用语音钓鱼攻击来诱骗员工授予访问权限。

研究人员写道：“在过去几个月中，UNC6040通过让其操作员在可信的电话社交工程互动中冒充IT支持人员，已多次成功入侵网络。这种方法在欺骗员工方面特别有效，通常针对跨国公司的英语分支机构，诱使他们执行授予攻击者访问权限或导致共享敏感凭据的操作，最终促进组织Salesforce数据的盗窃。在所有观察到的案例中，攻击者都依赖于操纵最终用户，而不是利用Salesforce固有的任何漏洞。”

Mandiant建议组织使用深度防御策略，采取措施确保来电者身份真实。在某些情况下，攻击者会冒充第三方供应商的支持人员以获取访问权限。接到这些电话的服务台员工应执行以下操作：

• “在不提供任何访问权限或信息的情况下结束来电”
• “使用可信的存档联系信息，独立联系该公司为该供应商指定的客户经理”
• “在继续任何请求之前，要求客户经理进行明确验证”

此外，员工应对要求他们登录其雇主组织使用的服务的未经请求的请求保持警惕。这些可能是旨在窃取其凭据的网络钓鱼攻击。

“Mandiant观察到威胁行为者UNC6040针对对SaaS应用程序具有提升访问权限的最终用户，“研究人员写道。“UNC6040冒充供应商或支持人员联系这些用户，并提供恶意链接。”

“一旦用户点击链接并进行身份验证，攻击者就会获得应用程序的访问权限以窃取数据。为减轻此威胁，组织应严格向所有最终用户传达验证任何第三方请求的重要性。”

我们需要教会AI安全编码

作者：Roger Grimes

几十年来，我一直在撰写关于需要更好地培训我们的程序员安全编码实践的文章。

至少三分之一的数据泄露涉及利用软件和固件漏洞，我们今年即将拥有超过47,000个单独的公开已知漏洞。每天都有至少130个新漏洞被学习和公开报告，日复一日。这是大量的利用。也是大量的修补。

直到现在，我所说的是我们需要：

• 更好地培训我们的编码人员进行安全编码实践
• 编程课程需要教授安全编码实践
• 雇主需要要求具有安全编码技能的编程人员

嗯，这些现在都是旧闻了。我们不再需要它了。

我们现在需要的是教会AI如何更安全地编码。

在所有随着AI而来的生产力提升中，编写代码（和/或协助开发人员编写代码）的能力是当前AI成熟度水平中最大的生产力发展。几乎每个活着的编码员都在使用AI进行编码，如果没有，他们将会使用。

生产力提升非常令人印象深刻。我的编码员朋友说，通过使用AI，他们至少经历了30%-40%的生产力提升。即使我最初是AI怀疑者的程序员朋友也已经转变态度。编码在很大程度上是一个AI驱动的世界，尽管人类仍然需要参与其中。

培训我们的程序员安全编码的时间已经过去。

如果AI正在进行大部分编码，那么是时候强制AI进行安全编码了。而现在，它做得不好。我看到的关于这个问题的每项研究都显示，AI在安全编码方面比人类程序员差或更差。

钓鱼攻击在欧洲网络攻击中仍是首要初始访问向量

根据欧盟网络安全局（ENISA）的数据，在2024年7月至2025年6月期间，钓鱼攻击是欧洲60%网络攻击的初始访问向量。

该机构表示：“关于初始入侵的主要方法，钓鱼（包括语音钓鱼、恶意垃圾邮件和恶意广告）被确定为主要向量，约占观察案例的60%。其部署的进步，如允许分发现成钓鱼工具包的钓鱼即服务（PhaaS），表明了一种自动化，为攻击者铺平了道路，无论他们的经验如何。”

该机构警告说，AI工具通过协助网络攻击和作为攻击目标本身引入了新的风险。

“AI日益增长的作用已成为快速演变的威胁格局中不可否认的关键趋势，“研究人员写道。“报告强调了AI既作为恶意活动的优化工具，也作为新的暴露点。”

大型语言模型（LLM）被用于增强钓鱼和自动化社交工程活动。到2025年初，据报道，AI支持的钓鱼活动占全球观察到的社交工程活动的80%以上。

“对AI供应链的攻击正在增加。虽然涉及AI的威胁活动的重点是使用消费级AI工具来增强其现有操作，但新兴的恶意AI系统因其AI模型的广泛使用而引起了对未来能力的担忧。”

ENISA还注意到供应链攻击的增加，这可以使威胁行为者通过针对受害者的客户来扩大攻击规模。

“与欧盟最近的事件密切相关，已经注意到针对网络依赖性的攻击增加，“该机构表示。“网络犯罪分子加强了滥用关键依赖点的努力，例如在数字供应链中，以从攻击中获得最大收益。这种方法能够通过利用我们数字生态系统固有的互联性来放大行动的影响。”