近年来,网络安全领域经历了一场深刻变革,身份攻击的频率和复杂度显著提升,成为企业面临的最严重威胁之一。根据知名安全机构eSentire的最新报告,2025年第一季度针对用户登录凭据的攻击激增了156%,身份相关的攻击事件占到所有安全调查的59%。这一趋势无疑给组织的安全防护提出了严峻挑战,尤其是在商业电子邮件欺诈(BEC)和勒索软件攻击的影响持续扩大的背景下。 身份攻击的核心工具主要包括先进的钓鱼平台和信息窃取恶意软件(infostealers)。钓鱼平台通过伪造合法的登录页面,诱骗用户输入真实凭据,窃取账号信息。信息窃取工具则采用恶意代码侵入用户设备,自动收集存储在系统内的敏感数据和账号密码,甚至包括企业内部系统的访问凭证。
钓鱼即服务(Phishing-as-a-Service)平台正变得日益普遍和强大,例如Tycoon 2FA,这一类工具以月费200至300美元的低价,提供精心制作的钓鱼页面,覆盖主流办公软件平台如Microsoft 365和Google Workspace,甚至拥有绕过多因素认证(MFA)的中间人攻击功能。Tycoon 2FA自2023年面市以来,因其技术成熟和价格亲民,迅速占领市场,用户数据说已超过两千人/月。 黑客利用这些平台,锁定企业财务部门关键员工,通过伪装成可信赖的发件人发送邮件,诱导员工点击钓鱼链接。受害者在钓鱼页面中输入的真实凭据立即被黑客获取,之后黑客持续监控受害者邮箱,侦测和修改财务付款信息,实现财务欺诈,造成重大经济损失。 除此之外,信息窃取恶意软件也以另一种方式加剧了身份攻击的威胁。这类程序通过感染终端设备,秘密记录用户的账号、密码及其他敏感信息,并将数据整理成“日志”出售。
在黑市上,价格低至每条日志10美元,极大地降低了网络犯罪的门槛,尤其是对于资金有限的攻击者。 值得注意的是,尽管有些信息窃取日志包含的凭据十分陈旧甚至被组织替换,但攻击者只需成功破解一条有效身份信息,便足以入侵企业系统,发起后续的BEC或勒索软件攻击。因此,即使旧数据有效性存在问题,整个身份安全形势仍然严峻。 网络犯罪成本效益分析显示,身份攻击的投资回报率远高于传统恶意软件攻击或漏洞利用,因而激励黑客持续优化攻击手法,窃取员工在各类关键账户中的凭据,包括Microsoft企业账户、密码管理器、银行和信用卡账户以及加密货币钱包。 鉴于身份攻击的复杂多变,企业面临的安全防护压力不断增大。传统的基于密码的认证方式脆弱易被攻破,逐渐暴露出难以满足现代安全需求的弊端。
面对钓鱼和信息窃取攻击日益专业化及自动化的威胁,推动高强度身份验证机制变得刻不容缓。 目前,业界正努力推广密码以外的身份验证方案,尤其是“无密码”认证技术如“通行密钥”(Passkeys)逐步成为主流。不同于传统密码,通行密钥通过公私钥配对和生物特征识别技术,极大提升账号安全级别,免疫钓鱼和信息窃取类攻击。微软已将其默认身份验证方法切换为通行密钥,验证了企业对这种技术的信任和推广决心。 早期的抗钓鱼方案如基于FIDO标准的硬件令牌,需要使用者携带物理安全密钥,虽然安全性出色,但在便利性方面存在一定制约。相比之下,通行密钥结合了高安全性与易用性,无需实体设备即可完成强身份验证,更适合企业大规模推广和使用。
除了技术升级,完善的实时监测和快速响应机制同样关键。企业必须建立综合的身份安全架构,持续监视异常登录行为和账户活动,确保在攻击初期即被发现,减少损失和扩散风险。安全团队应保持高度警惕并制定周密的应急预案,随时准备应对精心策划的身份攻击事件。 未来,网络身份攻击技术将继续演进,攻击者利用人工智能、大数据分析等新兴技术精细化定制钓鱼攻击和恶意软件。防御方则需同步提升安全防护能力,采用多层次、多维度的身份安全策略。那些有远见的组织将主动转型,更新安全架构,投资于新兴身份防护技术,迎接身份攻击的持续挑战。
总的来说,身份攻击的激增警示企业和用户重视身份安全问题成为网络安全的核心课题。钓鱼平台和信息窃取恶意软件的持续扩散,加上攻击成本的降低,意味着无论企业规模大小都有可能成为受害者。通过采用先进的认证技术,如无密码通行密钥,加强监控和响应能力,以及提升全员安全意识,企业才能构筑起坚实的身份安全防线,避免经济和声誉受损。 网络安全的未来归根结底关乎身份保护。只有把员工身份当作首要资产进行管理和防护,企业才能真正抵御不断升级的钓鱼和信息窃取攻击,保护数字资产安全,实现业务的持续健康发展。
