UNC6040 并不依赖系统漏洞或安全漏洞，而是利用人为错误。他们打电话给员工，引导其在 Salesforce 中批准一个“连接应用”。但这个应用并不普通，往往是经过篡改的 Salesforce 官方“数据导入工具”（Data Loader）版本。

一旦获得访问权限，攻击者就能查询并提取目标组织的大量数据。有时，这个工具还会伪装成“My Ticket Portal”（我的工单门户）等与IT技术支持相关的名称，以增加可信度。

在初步获得访问权限后，UNC6040 会分阶段地拉取数据。他们往往从小批量、低频率的查询开始，以避免触发报警；如果没有被发现，就逐步扩大数据导出量，最终进行大规模数据外泄。

有趣的是，数据被盗并不一定马上就会有勒索行为。在多个案例中，数据被盗几个月后，受害企业才收到了勒索信。攻击者在信中自称与臭名昭著的黑客组织“ShinyHunters”有关，目的是施加心理压力、逼迫企业付款。

这一“延时勒索”策略显示UNC6040可能与其他擅长数据变现的攻击者有合作。他们可能会将访问权限出售，或者将数据交给其他人用于后续攻击。这种时间差使得安全团队在事件检测和响应中面临更大挑战。

尽管Salesforce是其主要目标，但UNC6040的野心并不限于此。一旦获得初始凭证，该组织还会在企业内部横向移动，进一步渗透Okta、Microsoft 365等平台。这些更广泛的访问权限使其能够收集更多有价值的数据，进一步巩固控制力，为日后实施更严重的勒索行动铺路。

谷歌GTIG建议企业采取以下措施以降低此类安全事件发生的风险：

1、严格权限管理：限制Data Loader等强大工具的使用权限，仅允许真正有需要的员工使用，并定期审核其权限。

2、控制连接应用：管理可以接入Salesforce的连接应用，所有新应用应通过正式审批流程。

3、限制IP范围：为了防止攻击者通过VPN访问系统，应将登录和应用授权限制在可信IP地址范围内。

4、实时监控：使用如Salesforce Shield等安全平台，可实时监测和阻止大规模数据导出行为。

5、强化多因子认证（MFA）：虽然MFA并非万能，但它仍然是防范帐户被盗的有效手段，特别是在用户受过识别钓鱼电话等社交工程攻击的训练时。