美国联邦调查局（FBI）指出，黑客组织UNC6040与UNC6395近期针对企业的Salesforce平台发动攻击，通过语音社交工程与被盗的OAuth令牌获取访问权限，进一步大规模窃取数据，部分受害者还收到电子邮件勒索。

FBI指出，UNC6040自2024年10月以来持续活跃，手法以语音钓鱼为主，攻击者会冒充IT人员致电客服中心，要求员工配合操作或提供登录信息。一旦获取初始凭证，就会引导受害者在Salesforce的管理界面批准恶意连接应用程序，这些应用大多伪装成合法的工具，例如修改版的Salesforce Data Loader，实际上在获取OAuth令牌后可直接通过API批量导出大量数据。由于授权流程来自平台本身，攻击活动往往能规避多因素验证、密码重置与登录审计等管控机制，使数据泄露行为更难被察觉。

UNC6395则是在2025年8月被观测到利用Salesloft的Drift应用被盗的OAuth令牌，结合第三方集成功能进入企业的Salesforce环境并窃取数据。虽然这一途径在8月20日已由Salesloft与Salesforce共同撤销令牌而被封锁，但事件也凸显了第三方集成带来的潜在风险。FBI强调，即便攻击链已中断，仍有必要检查是否存在残留或不必要的令牌，以防止后续被滥用。

值得注意的是，部分UNC6040的受害企业在数据遭泄露后，还收到自称ShinyHunters的电子邮件勒索，要求支付加密货币以避免公开数据，这表明攻击不仅限于数据窃取，还可能演变为公开威胁与二次勒索。

针对黑客组织UNC6040与UNC6395的威胁，FBI提出一系列实用的防护建议。首先，企业应加强客服与一线人员的社交工程防范培训，并要求采用具备防钓鱼能力的多因素验证方式。其次，建议落实最小权限原则，并通过验证、授权与审计确保用户与群组访问权限受到有效管控。

FBI还建议企业强制采用基于IP的访问限制，并持续监控与检测API使用是否存在异常或恶意行为。同时，应全面清点环境中现有的第三方集成与连接应用，定期轮换API密钥、密码与OAuth令牌，并下线来源不明或不再使用的应用程序。此外，对网络与浏览器会话的监控也有助于发现数据泄露迹象。