Salesforce 或许是您企业数据的存储地,但并不能保证它也是数据的安全港湾。
随着谷歌、Workday、安联人寿、GAP、香奈儿、可口可乐、宜家等行业巨头相继确认[1]2025年发生Salesforce相关数据泄露事件,仅需一通电话或一个感染文件,便足以突破该平台的安全防护体系。
在上述许多案例中,文件上传、嵌入链接以及基于OAuth的集成都是数据泄露的入口点。
Salesforce攻击方式已发生变化。
恶意行为者并非强行闯入,而是潜入受信任的工作流程。
这揭示了在保护这些环境以及今后应如何捍卫它们方面存在关键性缺口。
2025年Salesforce安全危机:数据解读
攻击者对Salesforce的兴趣与其采用率成正比。
根据2025年威胁情报分析,文件上传与OAuth滥用已成为重大SaaS安全事件背后的主要攻击途径,暴露了云安全策略中的关键盲点。
攻击量激增
- 2025年第一季度Salesforce威胁检测率较2024年第四季度提升20倍
- 近10亿条记录在协同SaaS攻击中遭窃
- 39家以上主要机构遭到入侵,包括谷歌、可口可乐、阿迪达斯、安联、法国航空、荷兰皇家航空和玛莎百货。
这些并非边缘事件。
它们影响了全球品牌、受监管行业以及拥有成熟安全计划的组织。
已确认的违规影响
- 谷歌广告:255万 潜在客户记录遭泄露
- 可口可乐欧亚太平洋合伙公司:逾2300 万条Salesforce记录遭窃取
- 安联人寿:140万客户受影响
- 英国零售商(玛莎百货、合作社、哈罗德百货):技术支持部门的操作失误导致勒索软件被部署
- 航空业(法航、荷航、夏威夷航空、西捷航空):系统性、协调性定向投放
所有事件中都存在一个共同点:恶意文件和链接通过可信的Salesforce工作流进入系统,且未经检查和审查。
文件即武器:日常文档如何成为攻击载体
在2025年年初期间,多位安全行业分析师揭示了一种规律。
攻击者正利用看似合法的文件绕过传统防御机制,在Salesforce等SaaS平台内部直接接触终端用户。
剧本已改写。
攻击者并未利用软件漏洞,而是将目标锁定在通过常规业务流程传递的可信文档格式上——包括文件上传、共享记录和系统集成。
这种方法更有效,因为文件上传的安全审查通常较为宽松。
基于SaaS的攻击中最常被滥用的文件类型
武器化的文件上传功能滥用了用户的信任,将有害内容隐藏在日常文件中。[2-5]
Microsoft Word 文档(约 68%)
Word文件仍是恶意活动最常见的传播载体。
攻击者在邮件中植入钓鱼链接或外部恶意软件下载地址,并配以极具欺骗性的社会工程学诱导信息,例如"请核对发票"或"更新后的合同已附上"。
这些文件一旦直接上传至Salesforce,便完全绕过了电子邮件的安全控制措施。
图像文件和二维码(约27%)
正如微软及其他行业威胁报告所强调的,基于二维码的钓鱼攻击("二维码钓鱼")在2025年呈现出加速蔓延的态势。
恶意二维码被植入图像文件中,主要利用mobile mobile 较低的可见性和检查机制,将用户重定向至窃取凭证的页面。
PDF文档(约3%)
PDF文件通常伪装成发票、合规表格或法律文件。
部分邮件包含嵌入式JavaScript代码,而另一些则将用户引导至外部钓鱼网站或恶意软件托管站点。
其他文件格式(约2%)
攻击者还利用了:
- 用于浏览器钓鱼页面的HTML文件
- ZIP压缩包用于隐藏次要有效载荷
- 利用公式技术执行恶意逻辑的Excel文件
为什么这有效
这些文件未引发警报,因为它们看似合法,通过了Salesforce的正规工作流,且 获得了用户的信任。
随着组织加强网络边界和电子邮件网关的防护,攻击者便转向了阻力最小的路径:可信平台内的可信文件。
恶意软件演变危机
随着基于文件的数据交换日益增多,恶意软件变得越来越复杂且难以检测,往往能绕过传统的基于签名的安全工具。
根据OPSWAT ,恶意软件复杂度在六个月内 增长了127%,其驱动因素包括: 每次传播时都会变异的变形恶意软件、直接在内存中执行的无文件攻击、延时释放的有效载荷、反沙箱规避技术,以及隐藏在合法文件结构中的加密恶意内容。
传统防御为何失效
- 单一杀毒引擎仅能检测到50%至70%的威胁,这意味着30%至50%的威胁会持续漏检。
这种检测缺口解释了为什么:
- 67.72%的恶意Word文档绕过了防御系统
- 26.78%的二维码攻击绕过了电子邮件和终端控制措施
- 一旦攻击者完全避开电子邮件,Salesforce就成为理想的交付机制。
文件内隐藏的链接:高级URL规避策略
在某些现代攻击中,注入点已超越文件本身。
在这些情况下,真正的危险往往隐藏在文档和图像中嵌入的URL里。
安全研究人员持续指出,攻击者正逐渐减少对恶意软件传播的关注,转而更多地利用 看似合法的链接将用户重定向至恶意网站。
当用户点击时,传统的安全检查早已被绕过。
常见的基于URL的攻击技术在实际环境中的应用
品牌冒充与相似域名
攻击者惯常注册与可信品牌高度相似的域名,通过替换字符、添加额外字母或滥用子域等方式实施欺诈。
例如,知名服务的拼写错误版本,或在URL中添加可信品牌名称以误导用户认为其安全。
新注册域名(NRDs)
大量网络钓鱼活动依赖于在攻击前数周甚至数天内创建的域名。这些域名没有既定信誉,仅在活动期间短暂使用,且往往在被屏蔽列表标记前就被弃用。
滥用网址缩短服务
常用缩短链接服务会隐藏最终目标地址,使用户和基础安全工具无法追踪链接指向何处。这种技术之所以持续流行,正是因为它能规避基于声誉和关键词的简单过滤机制。
滥用合法平台及重定向
攻击者越来越多地利用可信基础设施进行掩护,例如搜索引擎重定向、云服务或内容分发平台。这些URL看似无害,能通过初始信任检查,随后才将用户重定向至钓鱼或恶意软件托管页面。
不常见或低成本顶级域名(TLDs)
某些顶级域名因注册成本较低且监管宽松,在网络钓鱼活动中被过度滥用。虽然没有哪个顶级域名本身具有恶意,但攻击者更青睐那些能快速创建且丢弃后不会产生后果的域名。
为何它依然有效
静态信誉评分(检查域名是否曾被识别或出现在已知黑名单中)在攻击者快速轮换域名、滥用可信服务或延迟恶意行为至交付之后时便形同虚设。
现代URL威胁需要超越表面层级的检测。
有效的防御依赖于情境分析、行为信号和持续检测。
深度检测尤为必要,特别是在可信的SaaS平台内部,用户更可能毫不犹豫地点击操作。
全面理解 Salesforce 攻击面
Salesforce提供了多种上传、共享和交换文件的方式——而攻击者几乎利用了所有这些途径。
他们并非针对单一功能,而是滥用了整个文件摄取生态系统,将恶意内容混入日常业务工作流中。
Salesforce 关键基于文件的入口点
面向客户的渠道
外部提交路径常成为攻击目标,因为它们的设计初衷就是接受来自不可信用户的文件。这包括邮件转案例和网页转案例表单、服务Cloud ,以及通过客户门户进行的文件上传。
内部协作工具
攻击者利用了协作功能,例如Chatter帖子、共享文件以及与Slack和WhatsApp等消息平台的集成,还利用了ExperienceCloud 内共享的内容。
API、集成与自动化
自动化数据流引入了额外风险。通过数据加载器、关联应用程序及第三方工作流自动化工具导入文件时,恶意内容可在无需用户直接交互的情况下进入Salesforce环境。
为何传统安全控制措施不足以应对Salesforce的安全需求
尽管在网络安全方面投入了大量资金,许多组织仍然面临风险。
行业研究(包括Verizon数据泄露调查报告)显示,近68%的安全事件涉及人为失误,而大多数传统安全工具从未设计用于保护Salesforce等SaaS平台。
核心问题在于可见度和时机。
传统控制措施侧重于电子邮件或终端设备,导致Salesforce内部的文件上传和存储内容基本处于未受检查的状态。
- 电子邮件安全网关仅在收件箱投递环节进行拦截,不会扫描直接上传至Salesforce的文件。
- Endpoint 保护的是 设备而非云平台,通常仅在文件下载后进行扫描。
- Cloud 代理(CASB)提供的深度文件检测能力有限,常会遗漏嵌入式或加密威胁。
- 基于签名的检测对零日攻击和多态恶意软件无效,因此无法有效防范现代武器化文档。
随着攻击者越来越多地利用可信的SaaS平台传播恶意软件和恶意链接,这些漏洞使得Salesforce环境在缺乏专用文件上传安全防护的情况下处于易受攻击的状态。
MetaDefender Salesforce 如何保障文件上传安全
MetaDefender Salesforce通过在文件和链接进入Salesforce的瞬间进行检测,填补了这一安全漏洞。
采用先进的云原生文件安全技术,在内容被存储、共享或通过Salesforce工作流处理之前,直接在入口点实施深度检测。
通过结合多层恶意软件扫描、内容分析和链接检测MetaDefender 及早MetaDefender 恶意软件、钓鱼链接和隐藏威胁。
结论:Salesforce 安全始于文件
2025年的安全数据[6]清晰揭示了一个事实:文件已成为攻击Salesforce等SaaS平台的主要途径。攻击者正越来越多地利用文件上传和共享内容绕过传统防御机制,而OAuth滥用则使威胁能够完全突破多因素认证的管控。
与此同时,很少有传统安全工具是为保护Salesforce工作流或在上传点检查文件而设计的。
要有效降低风险,必须在恶意文件或链接接触用户或业务流程之前就实施预防措施。
MetaDefender Salesforce 正是为此而生。
真正的关键问题已不再是攻击者是否会瞄准您的Salesforce环境,而是您能否在他们得逞前将其阻止。
常见问题解答:Salesforce文件上传安全
为什么文件上传在Salesforce中存在安全风险?
攻击者越来越多地利用文件上传和嵌入链接来绕过电子邮件和外围防御。2025年的安全研究表明,可信的Salesforce工作流已成为恶意软件和网络钓鱼的主要入侵入口。
Salesforce的原生安全功能能否阻止恶意文件?
Salesforce 保障平台自身安全,但不会深度检查上传的文件或嵌入的 URL。若无额外控制措施,威胁可能通过附件、API 和集成途径侵入系统。
在Salesforce攻击中,哪些文件最常被滥用?
攻击者最常滥用Word文档、含二维码的图像文件以及PDF文件,因为这些文件看似合法且能轻易绕过传统安全防护措施。
MetaDefender Salesforce 如何弥补这一差距?
MetaDefender Salesforce 在文件和链接进入 Salesforce 的瞬间即刻进行检测,在内容被存储、共享或用于工作流之前,便能拦截恶意软件和网络钓鱼攻击。
