Helix 组织被曝针对 SharePoint 发起数据勒索:语音钓鱼与 MFA 滥用成入口
据 BleepingComputer 2026 年 7 月 10 日报道,一个名为 Helix 的新型数据勒索组织正在针对 SharePoint 环境发动数据窃取攻击。来源显示,该组织并非单纯依赖传统恶意软件入侵,而是重点使用与身份认证相关的手段,包括语音钓鱼(vishing)、设备代码钓鱼以及多因素认证(MFA)滥用,诱导或绕过用户认证流程后获取 SharePoint 中的敏感资料。对于依赖 Microsoft 365、SharePoint、Teams 等工具进行跨境协作的企业和远程团队来说,这类攻击的风险并不局限于“服务器被黑”,更直接指向账号、身份验证流程和云端文件权限。
攻击重点从系统漏洞转向“人的身份”
从来源摘要看,Helix 的攻击路径体现了近年云办公安全风险的一个明显变化:攻击者越来越多地围绕账号身份而非单一设备展开行动。语音钓鱼通常会通过电话或语音沟通冒充 IT 支持、合作方或平台客服,诱导用户完成登录、授权或 MFA 操作;设备代码钓鱼则可能利用合法登录流程,让用户在看似正常的页面输入代码;MFA 滥用则瞄准用户对多因素验证提示的疲劳、误点或误信。
这意味着,即使企业没有暴露传统意义上的高危端口,甚至已经启用了多因素认证,仍可能因为员工被诱导完成一次“合法授权”而失去 SharePoint 访问控制。身份认证本身正在成为攻击入口,这对跨国团队尤其关键,因为远程协作中电话、邮件、IM、工单系统混用,员工更难判断一次验证请求是否真实。
对跨境办公、账号与云端文件的实际影响
SharePoint 常被用于存放合同、财务文档、客户资料、项目交付物和内部知识库。一旦攻击者获得账号权限,可能读取、批量下载或转移文件,并以泄露数据为由进行勒索。与加密型勒索软件不同,数据勒索未必会造成系统立即宕机,但对企业合规、客户信任和跨境业务连续性影响更隐蔽。
对跨境用户而言,还需要关注访问环境带来的误判问题。远程员工经常在不同国家和网络下登录办公平台,安全系统可能难以区分真实出差、VPN/代理访问、异地远程办公与攻击者登录。相反,员工也可能因为经常处理异常登录验证而降低警惕。“MFA 已开启”并不等于账号安全完成,关键还在于验证请求是否与本人发起的操作相匹配。
- 海外账号风险:Microsoft 365 账号一旦被接管,攻击者可能继续访问 SharePoint、邮箱、Teams 或其他关联应用。
- 支付与财务风险:若 SharePoint 中存有发票、付款信息、供应商资料,可能被用于后续商业邮件诈骗或付款指令伪造。
- 远程办公风险:跨时区团队更依赖语音和即时通讯确认身份,攻击者可利用沟通链条复杂性制造信任错觉。
- 访问环境风险:频繁跨境登录会增加安全告警噪音,企业需要更精细的条件访问与设备信任策略。
企业与个人用户应优先检查哪些环节
面对这类以身份为中心的攻击,防护重点应从“有没有 MFA”进一步升级到“如何验证 MFA 请求的真实性”。企业可要求员工只在自己主动发起登录时批准 MFA;对陌生电话要求扫码、输入代码、安装远程工具或批准登录的请求,应默认视为高风险。对于管理员账号、财务账号和可访问大量 SharePoint 文档的账号,应实施更严格的条件访问、最小权限和登录审计。
跨境团队还应建立清晰的身份确认流程。例如,IT 支持不会通过临时电话要求员工输入设备代码;涉及账号恢复、MFA 重置或权限提升时,应通过固定工单系统完成;对于来自海外 IP、非常用设备、异常时间段的大批量文件访问,应触发额外验证或自动阻断。必要时,企业可以结合安全访问服务、设备合规检查和受管理的远程接入方案,减少个人随意使用不明代理或公共网络登录核心办公平台的情况。
总体来看,Helix 事件再次提醒依赖云办公的跨境组织:数据安全的薄弱点往往不是某一个文件夹,而是能进入文件夹的账号。语音钓鱼、设备代码钓鱼和 MFA 滥用的组合,会让攻击看起来像一次正常登录。对用户而言,最重要的习惯是:任何非本人主动触发的验证请求都不要批准;对企业而言,则需要把账号行为、访问位置、设备状态和文件下载行为放在同一套风控逻辑中持续监测。