Bảo mật tải lên tệp tin trong Salesforce: Cách ngăn chặn phần mềm độc hại và các liên kết nguy hiểm trước khi chúng gây hại cho hệ thống CRM của bạn.

Sự quan tâm của tin tặc đối với Salesforce tỷ lệ thuận với mức độ phổ biến của nó.

Theo phân tích tình báo về các mối đe dọa năm 2025, việc tải lên tệp tin và lạm dụng OAuth nổi lên như những phương thức tấn công chính dẫn đến các vụ vi phạm an ninh mạng SaaS lớn, cho thấy một điểm mù nghiêm trọng trong các chiến lược bảo mật đám mây.

• Tỷ lệ phát hiện mối đe dọa của Salesforce tăng gấp 20 lần trong quý 1 năm 2025 so với quý 4 năm 2024.
• Gần 1 tỷ bản ghi bị đánh cắp trong các cuộc tấn công phối hợp nhằm vào phần mềm dưới dạng dịch vụ (SaaS).
• Hơn 39 tổ chức lớn đã bị xâm phạm, bao gồm Google, Coca-Cola, Adidas, Allianz, Air France, KLM và M&S.

Đây không phải là những sự việc cá biệt.

Chúng đã ảnh hưởng đến các thương hiệu toàn cầu, các ngành công nghiệp được quản lý chặt chẽ và các tổ chức có chương trình bảo mật hoàn thiện.

• Quảng cáo Google: 2,55 triệu hồ sơ khách hàng tiềm năng bị lộ. 
• Coca-Cola Europacific Partners: Hơn 23 triệu bản ghi Salesforce bị đánh cắp 
• Allianz Life: 1,4 triệu khách hàng bị ảnh hưởng 
• Các nhà bán lẻ Anh (M&S, Co-op, Harrods): Thao túng bộ phận hỗ trợ khách hàng dẫn đến việc triển khai mã độc tống tiền. 
• Ngành hàng không (Air France, KLM, Hawaiian, WestJet): Mục tiêu được nhắm đến một cách có hệ thống và phối hợp. 

Một điểm chung nổi lên trong tất cả các sự cố: các tệp và liên kết độc hại được đưa vào thông qua các quy trình làm việc đáng tin cậy của Salesforce ; mà không được kiểm tra và rà soát kỹ lưỡng.

Trong suốt đầu năm 2025, nhiều nhà phân tích trong ngành an ninh đã chỉ ra một xu hướng chung.

Kẻ tấn công đang sử dụng các tệp tin tưởng chừng hợp pháp để vượt qua các biện pháp phòng thủ truyền thống và tiếp cận người dùng cuối bên trong các nền tảng SaaS như Salesforce.

Kịch bản đã thay đổi. 

Thay vì khai thác các lỗ hổng phần mềm, kẻ thù tập trung vào các định dạng tài liệu đáng tin cậy được truyền tải thông qua quy trình làm việc kinh doanh thông thường - tải lên, chia sẻ hồ sơ và tích hợp.  

Phương pháp này hiệu quả hơn vì việc kiểm tra an ninh thường rất sơ sài đối với việc tải tệp lên.

Việc tải lên tệp tin có chứa nội dung độc hại đã lạm dụng lòng tin của người dùng, che giấu nội dung nguy hiểm trong các tệp tin thông thường. ^[2-5]

Các tệp tin Word vẫn là phương thức phát tán phổ biến nhất cho các hoạt động độc hại.  

Kẻ tấn công đã nhúng các liên kết lừa đảo hoặc URL tải xuống phần mềm độc hại bên ngoài và kết hợp chúng với các thông điệp lừa đảo xã hội đầy thuyết phục như "vui lòng xem lại hóa đơn" hoặc "hợp đồng cập nhật được đính kèm".  

Khi được tải trực tiếp lên Salesforce, các tệp này đã hoàn toàn bỏ qua các biện pháp kiểm soát bảo mật email. 

Như đã được nhấn mạnh trong các báo cáo về mối đe dọa của Microsoft và các ngành khác, tấn công lừa đảo dựa trên mã QR ("quishing") đã gia tăng mạnh vào năm 2025.

Mã QR độc hại được nhúng trong các tệp hình ảnh đã chuyển hướng người dùng, chủ yếu là trên các trang web sau: mobile các thiết bị, đến các trang thu thập thông tin đăng nhập, lợi dụng việc giảm khả năng hiển thị và kiểm tra của mobile duyệt web.

Các tệp PDF thường được ngụy trang dưới dạng hóa đơn, biểu mẫu tuân thủ hoặc tài liệu pháp lý.

Một số trang web chứa mã JavaScript nhúng, trong khi những trang khác lại dẫn người dùng đến các trang web lừa đảo hoặc chứa phần mềm độc hại bên ngoài.

Kẻ tấn công cũng đã tận dụng:

• Các tệp HTML dành cho các trang lừa đảo dựa trên trình duyệt. 
• Lưu trữ tệp ZIP để che giấu các phần mềm độc hại phụ. 
• Các tệp Excel sử dụng kỹ thuật dựa trên công thức để thực thi logic độc hại. 

Khi việc trao đổi dữ liệu dựa trên tệp tin ngày càng tăng, phần mềm độc hại trở nên tinh vi hơn và khó phát hiện hơn, thường vượt qua được các công cụ bảo mật truyền thống dựa trên chữ ký.

Theo nghiên cứu OPSWAT , độ phức tạp của phần mềm độc hại đã tăng 127% trong sáu tháng, chủ yếu do phần mềm độc hại đa hình thay đổi mỗi khi được phát tán, các cuộc tấn công không cần tệp thực thi trực tiếp trong bộ nhớ, các tải trọng trì hoãn thời gian, các kỹ thuật né tránh chống hộp cát và nội dung độc hại được mã hóa ẩn bên trong cấu trúc tệp hợp pháp.

Trong một số cuộc tấn công hiện đại, điểm chèn mã độc di chuyển ra ngoài chính tệp tin đó.

Trong những trường hợp này, mối nguy hiểm thực sự thường ẩn giấu bên trong các URL được nhúng trong tài liệu và hình ảnh.

Các nhà nghiên cứu bảo mật liên tục báo cáo rằng tin tặc tập trung ít hơn vào việc phát tán phần mềm độc hại và nhiều hơn vào việc chuyển hướng người dùng đến các trang web độc hại, sử dụng các liên kết thoạt nhìn có vẻ hợp pháp.

Đến khi người dùng nhấp chuột, các bước kiểm tra bảo mật truyền thống đã bị bỏ qua.

Kẻ tấn công thường xuyên đăng ký các tên miền rất giống với các thương hiệu đáng tin cậy, bằng cách thay thế các ký tự, thêm các chữ cái thừa hoặc lạm dụng các tên miền phụ.

Ví dụ bao gồm các phiên bản viết sai chính tả của các dịch vụ nổi tiếng, hoặc các URL được thêm thắt bằng tên thương hiệu đáng tin cậy để đánh lừa người dùng rằng chúng an toàn. 

Phần lớn các chiến dịch lừa đảo trực tuyến dựa vào các tên miền được tạo ra chỉ vài tuần, hoặc thậm chí vài ngày trước khi cuộc tấn công diễn ra. Những tên miền này không có uy tín, chỉ được sử dụng trong thời gian ngắn trong các chiến dịch và thường bị bỏ rơi trước khi bị các danh sách chặn gắn cờ.

Các liên kết rút gọn từ các dịch vụ phổ biến che giấu điểm đến cuối cùng, ngăn người dùng và các công cụ bảo mật cơ bản xem được liên kết dẫn đến đâu. Kỹ thuật này vẫn phổ biến vì nó né tránh được các bộ lọc đơn giản dựa trên uy tín và từ khóa.

Kẻ tấn công ngày càng ẩn nấp sau các cơ sở hạ tầng đáng tin cậy như chuyển hướng công cụ tìm kiếm, dịch vụ đám mây hoặc nền tảng phân phối nội dung. Các URL này thoạt nhìn có vẻ vô hại, vượt qua các bước kiểm tra độ tin cậy ban đầu, và chỉ sau đó mới chuyển hướng người dùng đến các trang lừa đảo hoặc chứa phần mềm độc hại.

Một số tên miền cấp cao nhất (TLD) bị lạm dụng nhiều hơn mức bình thường trong các chiến dịch lừa đảo trực tuyến do chi phí đăng ký thấp hơn và việc thực thi lỏng lẻo hơn. Mặc dù không có TLD nào vốn dĩ độc hại, nhưng kẻ tấn công thường ưa thích các tên miền có thể được tạo ra nhanh chóng và loại bỏ mà không gặp hậu quả gì.

Salesforce cung cấp nhiều cách để tải lên, chia sẻ và trao đổi tệp - và tin tặc đã lợi dụng gần như tất cả các cách thức đó.

Thay vì nhắm vào một tính năng duy nhất, chúng đã lạm dụng toàn bộ hệ sinh thái tiếp nhận tệp tin , hòa trộn nội dung độc hại vào quy trình làm việc hàng ngày của doanh nghiệp.

Các kênh gửi dữ liệu bên ngoài thường xuyên bị nhắm mục tiêu vì chúng được thiết kế để chấp nhận tệp từ người dùng không đáng tin cậy. Điều này bao gồm các biểu mẫu Email-to-Case và Web-to-Case, Service. Cloud các tệp đính kèm và nội dung tải lên thông qua cổng thông tin khách hàng.

Kẻ tấn công đã lợi dụng các tính năng cộng tác như bài đăng trên Chatter, chia sẻ tệp và tích hợp với các nền tảng nhắn tin như Slack và WhatsApp, cũng như nội dung được chia sẻ trong Experience. Cloud cộng đồng.

Dữ liệu bảo mật từ năm 2025 ^[6] cho thấy rõ một điều: các tệp tin đã trở thành vectơ tấn công chính nhắm vào các nền tảng SaaS như Salesforce. Kẻ tấn công ngày càng sử dụng việc tải lên tệp tin và nội dung được chia sẻ để vượt qua các biện pháp phòng thủ truyền thống, trong khi việc lạm dụng OAuth cho phép các mối đe dọa vượt qua hoàn toàn các biện pháp kiểm soát MFA. 

Đồng thời, rất ít công cụ bảo mật truyền thống được thiết kế để bảo vệ quy trình làm việc của Salesforce hoặc kiểm tra tệp tại thời điểm tải lên.  

Để giảm thiểu rủi ro một cách hiệu quả, việc phòng ngừa phải được thực hiện trước khi các tệp hoặc liên kết độc hại tiếp cận người dùng hoặc quy trình kinh doanh.

MetaDefender Đối với Salesforce, điều đó được thực hiện chính xác. 

Câu hỏi thực sự không còn là liệu kẻ tấn công có nhắm mục tiêu vào môi trường Salesforce của bạn hay không; mà là liệu bạn có ngăn chặn được chúng trước khi chúng thành công hay không.