人力资源解决方案公司Workday近日披露，其第三方CRM平台遭遇未知威胁行为者通过高级社会工程手段入侵，手法与近期Salesforce攻击事件如出一辙。攻击者冒充HR或IT人员，利用语音钓鱼（vishing）方式诱骗员工授予平台访问权限，导致常见的商业联系信息（姓名、邮箱、电话）泄露，可能用于进一步的社会工程诈骗。Workday强调客户租户或内部数据未被访问，并已采取防护措施。此次事件再次凸显了员工识别复杂社会工程攻击，尤其是语音钓鱼的重要性，以及企业强化内部认证协议的必要性。

🛡️ **Workday遭受高级社会工程攻击：** 未知威胁行为者通过冒充HR或IT部门人员，利用语音钓鱼（vishing）手段成功入侵了Workday的第三方CRM平台，此次攻击手法与近期针对多家大型组织的Salesforce攻击浪潮高度相似，表明攻击者正在采用日益精密的策略。

📧 **泄露数据与潜在风险：** 此次入侵导致泄露的数据主要为常见的商业联系信息，包括员工的姓名、邮箱和电话号码。这些信息可能被攻击者用于发起更具针对性的社会工程诈骗，如鱼叉式网络钓鱼或进一步的欺诈活动，对客户信任造成严重打击。

📈 **攻击者与相似事件：** 此次攻击手法与黑客团伙Shiny Hunters（UNC6240）今夏针对Salesforce环境的攻击策略高度相似，引发业界对其关联性的猜测。此前，Salesforce也曾预警语音钓鱼攻击导致约20家企业数据泄露，受害者包括可口可乐、思科、路易威登母公司LVMH等知名企业。

🔒 **防范与应对措施：** Workday已立即切断了被入侵的访问权限，并增设了防护措施。专家建议，除了加强员工对语音钓鱼等复杂社会工程攻击的培训，企业还需强化内部认证协议，例如客服人员在分享敏感数据前需验证员工身份，以大幅降低此类攻击的成功率。

💡 **增强员工培训与内部控制：** 此次事件再次强调了员工培训的重要性，特别是识别和防范语音钓鱼等新型攻击手段。同时，企业应不断优化和强化内部安全控制和认证流程，以应对不断演变的威胁。

HackerNews 编译，转载请注明出处：

人力资源解决方案公司Workday披露，未知威胁行为者通过高级社会工程手段成功入侵其第三方CRM平台，手法与近期Salesforce攻击浪潮如出一辙。这家总部位于旧金山的公司于周五在官网发布公告警示客户。

“我们希望告知近期针对多家大型组织（包括Workday）的社会工程攻击活动，”声明指出。攻击者通过“短信或电话联系员工，伪装成人力资源部或IT部门人员”，这种被称为语音钓鱼（vishing）的手段与黑客团伙Shiny Hunters（UNC6240）今夏针对数十家Salesforce环境的攻击策略高度相似。

Workday成立于2005年，是专注人力资源与财务管理的云服务供应商，拥有近2万名员工及全球超1.1万家企业客户，服务合同用户超7000万，2024年营收达84亿美元。Closed Door Security首席执行官威廉·赖特分析称：“与其他CRM数据窃取事件类似，攻击者诱骗员工授予平台访问权限后实施数据外泄。”泄露数据主要为“常见商业联系信息，如姓名、邮箱和电话号码”，可能被用于升级社会工程诈骗。

赖特强调此类信息泄露将“严重打击客户信任”，增加鱼叉式钓鱼与欺诈风险。他进一步指出，ShinyHunters关联攻击事件激增表明“员工需接受更复杂社会工程攻击的培训”：“当前员工已熟悉传统钓鱼邮件，但语音钓鱼因缺乏针对性培训而异常有效”。

Workday重申“无迹象表明客户租户或内部数据被访问”，并提醒客户“官方通知仅通过认证支持渠道发送，绝不会通过电话索要密码等安全信息”。CybaVerse首席技术官朱丽叶·哈德森认为攻击特征指向ShinyHunters为主谋：“培训员工识别语音钓鱼仅是基础，随着攻击者伪装技术日益精密，企业需强化内部认证协议。”她举例说明：“若客服人员与员工通话时需验证身份才能分享敏感数据，此类攻击成功率将大幅降低”。

2025年3月，Salesforce曾预警语音钓鱼攻击导致约20家企业数据外泄，黑客篡改其数据加载工具实施入侵。6月谷歌旗下Mandiant确认Shiny Hunters为该活动幕后黑手，业界推测其与Scattered Spider勒索团伙存在关联或协作。近期受害企业包括可口可乐、思科、澳航、安联人寿、阿迪达斯及路易威登母公司LVMH等。Workday表示发现入侵后已立即切断访问权限，并增设防护措施防止类似事件重演。

 

 

 

---

消息来源： cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文