Google追踪到6783张工单被盗，黑客盯上客服系统的脏套路|安全漏洞|客服系统|工单|微软|服务器|知名企业|谷歌|黑客

2024年1月，某企业安全团队发现Zendesk后台出现异常导出记录。3个月后，Google威胁情报团队确认：这是一个全新黑客组织UNC6783的"杰作"，他们专门偷客服工单——不是勒索，不是破坏，就是单纯拿走你和客服说的每一句话。

客服系统成了数据金矿

工单里有什么？账户找回记录、支付纠纷详情、内部系统截图、甚至员工随口提到的服务器IP。Google分析师发现，UNC6783的攻击链极其干净：钓鱼邮件拿到员工凭证→登录Zendesk→批量导出工单→清理日志走人。整个过程平均耗时4小时，很多企业直到客户投诉"有人冒充客服联系我"才发现出事。

这个组织的命名规则暴露了线索。"UNC"是Google对"未分类威胁组织"的临时标签，数字6783意味着这是Google追踪的第6783个独立黑客组织。命名本身就在说：我们根本来不及给每个组织起代号，威胁增长的速度超过了分类学的产能。

攻击目标的选择也很讲究。Zendesk服务超过10万家企业，但UNC6783只挑特定行业下手——金融科技、加密货币交易所、SaaS厂商。这些企业的共同点是：客服工单=用户身份验证的替代方案。当你忘记密码时，客服可能通过核对"您上次咨询的订单号"来确认你是本人。黑客拿到这些对话，就等于拿到了绕过双因素认证的说明书。

13年老漏洞还在收割企业

几乎同一时间，Apache ActiveMQ的一个漏洞正在批量沦陷企业服务器。这个编号CVE-2016-3088的漏洞，2016年就被公开，补丁存在了13年，但2024年仍有攻击者用它远程执行命令。

安全厂商Rapid7的蜜罐数据显示，2024年第一季度针对该漏洞的攻击尝试环比增长340%。攻击者不需要复杂技巧——向ActiveMQ的61616端口发送特定构造的HTTP请求，就能上传任意文件并执行。某制造业CISO在复盘时苦笑："我们的ActiveMQ实例部署于2015年，当时负责的人早已离职，没人记得这台机器的存在。"

这个案例像极了我见过的一个产品事故。某APP的"清除缓存"按钮埋得太深，用户找不到，客服每天被问200次。产品团队没改入口，而是给客服写了一套标准回复话术。三年后，这套话术被泄露，黑产用它批量诈骗用户"指导清除缓存"，骗取短信验证码。系统设计的债，最终由安全团队偿还。

macOS的"合法软件"陷阱

苹果生态的防线也在被绕过。新发现的ClickFix攻击 campaign 利用macOS自带的Script Editor（脚本编辑器），诱导用户复制粘贴恶意代码。攻击者伪装成"验证码修复工具"或"PDF解锁器"，在钓鱼网站上提示"请打开Script Editor，粘贴以下代码以继续"。

Script Editor是苹果预装的合法工具，拥有访问文件系统、网络连接的权限。用户亲手把恶意代码喂给系统，传统杀毒软件几乎无法拦截——它看到的只是一个"用户主动运行的脚本"。Malwarebytes的检测数据显示，这类攻击在2024年前三个月针对macOS用户的成功率比传统木马高出27%。

微软同期修复的Start Menu搜索故障，则暴露了另一个尴尬现实。这个Bug导致用户输入关键词后，搜索结果空白或延迟超过30秒。微软在支持文档中承认，问题源于"搜索索引与云服务的同步异常"。翻译成人话：你的本地搜索依赖微软服务器，服务器抽风，你的电脑就跟着瘫痪。本地计算能力的退化，让"离线可用"成了需要特别标注的卖点。