企業級人資平台 Workday 確認遭社交工程攻擊,透過第三方 CRM 系統遭洩漏大量企業聯絡資料,包含姓名、Email與電話。官方提醒用戶應該多加提防有心人士利用外洩資訊對企業進行社交工程攻擊。
Workday 官方證實攻擊事件與資料外洩
近日,全球 HR 軟體巨頭 Workday(提供企業人資與財務管理的平台)正式證實,遭社交工程攻擊取得第三方 CRM(客戶關係管理) 平台 Salesforce 上的部分資料。Workday 的客戶名單涵蓋各行各業的 11,000 多家組織,其中包括 60% 以上是屬於財富 500 強公司。
科技媒體 Bleeping Computer 則指出,這起事件與近期 Salesforce 資料庫大規模入侵有關,已有多家國際知名企業證實受害,包括 Adidas、Google、澳洲航空、Chanel和LV等。
攻擊事件發生於2025年8月6日,攻擊者透過簡訊或電話聯繫 Workday 員工,假裝是人力資源部或 IT 部門的員工,試圖誘騙他們透露帳戶存取權限或個人資訊,以此取得 Workday 存放於 Salesforce 的資料。
Workday 於8月15日在官網發布聲明,表示「未有客戶租戶或核心資料遭到入侵」,但此次攻擊已揭露大量「常見商業聯絡資料」,包括姓名、Email、電話等。以下內容翻譯自原文:
「*我們想告知您,近期有針對包括 Workday 在內的多家大型機構的社交工程攻擊活動。我們最近發現 Workday 已成為攻擊目標,威脅者能夠存取我們第三方 CRM 平台的部分資訊。目前尚無跡象表明該攻擊活動能夠存取客戶租戶或其中的資料。*攻擊者獲取的資訊類型主要是常見的商業聯絡訊息,例如姓名、電子郵件地址和電話號碼。」
Workday 也提醒企業,這些外洩的資料很有可能被用來做為進一步的社交工程詐騙,請務必小心!
然而,一名網友在 Reddit 上表示,Workday 在公布資料外洩的官方文章的程式碼中設置了「noindex」標籤,導致搜尋引擎無法索引該頁面。此舉被認為是為了聲譽維護,但也引發質疑,外界擔心 Workday 是否刻意抑制消息擴散,並未將「全面告知與保護用戶」擺在首要位置。
甚麼是社交工程攻擊?
在 Workday 資料外洩事件中,駭客成功入侵的關鍵並非傳統的「技術漏洞」,而是透過 社交工程(Social Engineering) 攻擊。這種攻擊手法的核心並不是直接攻擊系統,而是「利用人性」──透過欺騙、操縱或誘導,讓使用者在不知不覺間交出關鍵資訊或授權存取。
舉例來說,駭客會透過冒充 IT 或 HR 人員,致電或發送郵件給員工,要求他們點擊連結並授權一個看似正常的應用程式。事實上,這就是一個惡意 OAuth 應用,駭客藉此獲得系統的合法存取權。
用戶與企業可能遇見的3大社交工程詐騙手法
外洩的「姓名、電話、Email」雖看似平凡,但正是社交工程攻擊的燃料 ── 有了這些資訊,駭客能發送更精準的釣魚郵件,或打出更具說服力的詐騙電話。
舉例來說,一通來自「公司 IT 支援」的電話,若能準確說出受害者的姓名、部門甚至直屬主管,很容易讓人誤以為是真實的內部聯絡。
1. 更精準的釣魚郵件(Phishing 2.0)
過去的釣魚郵件往往因為用詞拙劣或寄件地址陌生而容易被識破。但一旦駭客掌握了用戶的姓名、工作單位、部門甚至職稱,就能撰寫出「量身打造」的釣魚郵件。
例如:一封標題為「Workday 安全驗證通知」的信件,如果寄件人地址與格式模仿官方,並且能正確稱呼你的名字,受害者點擊的可能性將大幅提升。
2. 假冒公司 HR 或 IT 支援電話
資料外洩後,駭客可以直接撥打電話,冒充 HR 或 IT 部門人員,要求員工進行「驗證程序」或「協助更新系統」。由於對方能準確說出你的姓名與部門,受害者往往難以懷疑其真實性。
這類語音詐騙(Vishing)在金融業已屢見不鮮,如今逐漸滲入到企業 SaaS 平台的環境中。
3. 商業郵件詐騙(Business Email Compromise, BEC)
若駭客能進一步假冒主管、客戶或合作夥伴,就可能引發商業郵件詐騙。典型的手法包括:冒充主管要求下屬匯款、提供「假發票」要求付款,甚至假冒合作廠商更改收款帳戶。這些詐騙之所以成功,往往正是因為駭客擁有足夠的真實資訊作為掩護。
如何避免公司落入社交工程詐騙陷阱
1. 強化員工資安教育
社交工程最常見的破口就是員工。建議企業定期舉辦「釣魚演練」或資訊安全意識訓練,讓員工學會辨識可疑郵件與電話。
2. 嚴格控管第三方存取
Workday 事件提醒我們:核心平台可能安全,但第三方整合點卻是弱點。
✔ 對所有第三方應用啟用最小存取權限(Least Privilege)
✔ 定期審核 OAuth 與 API 權限
3. 啟用多因素驗證
避免企業系統只使用帳號密碼或是雙重驗證即可登入,這樣的作法容易使得有心人士利用社交工程詐騙輕易取得系統權限,應該使用多因素驗證(MFA),讓員工的身分認證難度更升級,例如加入指紋辨識或是地理位置、裝置設備認證等等。
Keypasco 多因素身分認證(MFA) 是來毅數位科技推出的多因素身分驗證方案,整合 FIDO2 與 FIDO UAF 標準,提供高安全,無須密碼的登入體驗。只有經過授權的使用者,能從綁定裝置、於指定位置和時間登入。該系統採用獨家專利的雙通道認證架構,登入與認證加密通道分離設計,能有效防堵中間人攻擊(MiTM)、瀏覽器中間人攻擊(MiTB)、釣魚詐騙與帳戶接管(ATO)。目前此服務已廣泛應用於金融機構及企業,為數百萬用戶提供安全、便捷免密碼的登入服務。
4. 落實零信任(Zero Trust)架構
Zero Trust 架構是資安界公認的新世代防禦策略,核心原則是:
- 不預設任何裝置、帳號、應用程式是可信任的
- 每次存取都需經過身分驗證、行為檢測與風險評估
- 動態授權,依風險動態調整存取權限
這意味著,即便是內部員工、外包客服、供應商,也必須層層驗證與最小權限原則,避免駭客透過社交工程突破一層後就橫向入侵整個企業網路。
「Keypasco ZTNA」是一款基於零信任架構的資安解決方案,該產品參考了美國NIST、CISA標準以及台灣政府的零信任技術架構,通過國家資通安全研究院驗證,透過身分鑑別、裝置鑑別和信任推斷技術致力於幫助各類企業和公私部門提供全面而強大的資安防護。
- 身分鑑別: 提供多因素身分驗證,及FIDO U2F、FIDO2解決方案。
- 裝置鑑別: 掃描設備特徵與軟體訊息,並儲存於Keypasco伺服器進行設備認證。
- 信任推斷: 透過人工智慧分析行為,持續評估風險並觸發新的驗證。
Keypasco 符合各國法規與實務需求,目前已導入國內外政府機關、金融服務、醫療院所、智慧建築、高科技等產業,我們將持續協助企業強化資安合規能力,滿足各種場域的需求。