2026年2月,TechRepublic報道稱,金融服務公司Figure在一次新揭露的資料外洩事件中暴露了近967,200筆電子郵件記錄。這次洩漏事件並未涉及任何漏洞鏈,也沒有利用零日漏洞。這些記錄原本是可以存取的,現在已落入攻擊者手中。這類資料外洩事件的通報往往止步於外洩記錄的數量,洩漏記錄的數量並非事件本身,它只是後續事件發生的起點。
對手如何利用96.7萬封電子郵件記錄
洩漏的電子郵件地址並非靜態數據,而是操作輸入。一旦此類記錄集可用,攻擊者便會在數小時內將其同時應用於多個平行工作流程。
第一種攻擊方式是撞庫攻擊。假設客戶和員工幾乎肯定會在不同服務中重複使用密碼。攻擊者會將暴露的位址與先前洩漏事件(例如 LinkedIn、Dropbox 和 RockYou2024)的資料庫結合,並大規模地針對企業入口網站、VPN 閘道、Microsoft 365、Okta 和身分提供者進行測試,自動化可以處理如此龐大的資料量。
針對新建立的電子郵件清單的憑證填充攻擊的成功率通常在 2% 到 3% 之間。在 967,000 筆記錄中,這意味著只有 19,000 到 29,000 個有效的憑證對。
第二種工作流程是定向網路釣魚,人工智慧輔助工具現在可以在幾分鐘內根據電子郵件清單產生個人化的網路釣魚郵件。這些郵件會提及組織名稱,冒充內部通信,並且在視覺上與合法郵件難以區分。
針對特定收件人進行定向——利用職位名稱、部門或公開的 LinkedIn 數據來定制誘餌——是一種標準做法,並非只有國家行為體才具備的能力。
第三種是技術支援社交工程攻擊。攻擊者利用有效的電子郵件地址和基本的開源情報,冒充員工致電IT支援團隊,要求重設密碼、重設多因素身份驗證裝置或解鎖帳號。這種攻擊方式完全繞過了身分驗證技術——它針對的是處理身分驗證失敗的人工流程。
在這些工作流程中,都不需要任何技術漏洞。攻擊者的目標並非入侵系統,而是以合法使用者的身分登入。入侵本身並不會創造存取權限,而是創造了透過身份驗證系統本身實現存取權限的條件。
為什麼傳統多因素身份驗證無法中斷此鏈
這是大多數事件事後分析報告都忽略的部分。組織機構在看到憑證外洩事件後,便得出結論:他們的多因素身份驗證 (MFA) 部署能夠保護自身安全。但對於上述攻擊鏈而言,這種結論在結構上是錯誤的。現代攻擊者工具會執行安全研究人員所稱的即時網路釣魚中繼攻擊,有時也稱為中間人攻擊(AiTM)。其機轉十分精密。
攻擊者建立了一個反向代理,該代理位於受害者和合法服務之間。當受害者在偽造的頁面上輸入憑證時,代理人會將這些憑證即時轉發到真正的網站。
真正的網站會發起多因素身份驗證 (MFA) 挑戰,代理伺服器將該挑戰轉發給受害者。受害者做出回應——因為頁面看起來合法,而且 MFA 提示也是真實的。代理伺服器轉發回應,攻擊者由此獲得了已認證的會話。
推播通知多因素身份驗證 (MFA)、簡訊一次性驗證碼和 TOTP 身份驗證器應用程式都容易受到這種中繼攻擊。它們僅驗證驗證碼的交換,並沒有驗證完成驗證碼交換的個人是否為授權帳戶持有人,它們無法區分直接會話和代理會話。
用於自動化此類攻擊的工具包——例如 Evilginx、Modlishka、Muraena 及其衍生版本——均已公開提供,並持續維護,且無需任何高級技術即可操作。這種能力並不稀奇,而是基本配置。
多因素身份驗證(MFA)疲勞會加劇這種情況。攻擊者如果取得了有效的身份驗證憑證,但無法即時轉送會話,就會重複推播通知,直到使用者因沮喪或困惑而批准為止。這種攻擊方式已被成功用於攻擊擁有成熟安全機制的組織,其中一些事件甚至受到了公眾的廣泛關注。
所有這些技術的共同點是:傳統的 MFA 將人們置於身分驗證鏈的最終決策點,然後依靠這個人做出正確的決定,而這些決定是在專門設計用來破解它的條件下做出的。
傳統多因子分析無法解決的結構性問題
安全產業應對身分驗證失敗的標準方法是進行使用者教育。訓練使用者辨識網路釣魚,教他們如何驗證意外的多因素身份驗證 (MFA) 提示,並提醒他們不要批准自己未發起的請求。這種回應並沒有錯,只是不夠充分,而且這種不足是架構上的,而非動機上的。
中繼攻擊不需要使用者識別釣魚頁面。他們收到的多因素身份驗證 (MFA) 提示是真實的,由合法服務發出,並透過他們每天使用的相同應用程式推送。使用者無法察覺任何異常。這種攻擊旨在讓參與其中的人完全察覺——而且它確實做到了。
更深層的問題是,大多數組織部署的身份驗證架構並沒有設計用來回答在資料外洩後環境中真正重要的問題:授權人員在身份驗證時是否在場並經過生物特徵驗證?
推播通知無法回答這個問題,簡訊驗證碼無法回答這個問題。 TOTP 也無法回答這個問題。 USB 硬體令牌回答的是一個相關但不同的問題——它們證明的是註冊設備在場,而不是授權人員在場。
審計人員、監管機構和網路保險公司越來越明確地強調這種差異。 「你能證明授權人員當時在場嗎?」這個問題出現在CMMC評估、紐約州金融服務部(NYDFS)的檢查以及承保人問卷中。在涉及高風險存取的場景中,設備的存在不再被視為人員在場的替代指標。
真正能抵禦網路釣魚的身份驗證需要什麼?
FIDO2/WebAuthn 在本次討論中被頻繁提及,它無疑是向前邁出的重要一步,但僅靠它本身還不夠。標準的密碼金鑰實現方式是將憑證綁定到裝置或雲端帳戶。雲端同步通行金鑰繼承了雲端帳戶的固有漏洞:針對恢復電話號碼的 SIM 卡交換攻擊、透過憑證釣魚進行的帳戶接管、恢復流程漏洞利用。設備綁定通行密鑰可以證明設備已被持有,但無法證明人的存在。
能夠阻止網路釣魚攻擊並封閉中繼攻擊途徑的身份驗證需要同時具備以下三個特性:
- 加密來源綁定:身份驗證憑證在數學上與確切的來源網域名稱綁定。偽造的網站無法產生有效的簽名,因為網域不符。攻擊在任何憑證傳輸之前就會失敗。
- 硬體綁定的私鑰永遠不會離開安全硬體:簽章金鑰無法匯出、複製或外洩。即使終端設備遭到入侵,憑證也不會外洩。
- 對授權人員進行即時生物特徵驗證:不是使用可以重播的儲存生物特徵模板,而是進行即時匹配,以確認授權人員在身份驗證時實際在場。
當這三個特性同時存在時,中繼攻擊就無路可走。攻擊者無法從偽造的網站產生有效的加密簽章。他們也無法中繼會話,因為一旦來源位址發生變化,加密綁定就會失效。
他們無法使用被盜設備,因為沒有授權人員在場,生物辨識驗證將會失敗。他們也無法透過社交工程手段獲得授權,因為沒有授權提示——身份驗證要么通過與註冊硬體上的真實生物特徵匹配完成,要么就無法完成。
令牌:一種加密身分標識,用於驗證人而非裝置
TokenCore 的建立是基於一個毫不妥協的原則:驗證人,而不是設備、憑證或會話。大多數身份驗證產品只是在薄弱的基礎上增加各種因素,而Token則取代了基礎架構。該平台結合了強制生物識別、硬體級加密認證和物理距離驗證——這三項必須同時滿足才能授予存取權限。
沒有備用方案,使用者無法在該欄位中輸入任何繞過代碼。授權人員要麼在場並已通過驗證,要麼無法存取。這一點至關重要,正是因為上述攻擊鏈。 Token 的生物辨識認證平台消除了每個環節:
- 杜絕網路釣魚。所有身份驗證都透過加密技術與確切的來源網域綁定。偽造的登入頁面無法產生有效的簽名-令牌將直接拒絕驗證。
- 不可重播攻擊。私鑰永遠不會離開硬體。由於需要複製的加密材料在物理上無法存取,因此無法重建中繼會話。
- 不允許委託他人代為驗證。每次身份驗證都需要進行即時指紋配對。同事、持有被盜設備的攻擊者或社交工程攻擊目標都無法代表授權使用者完成身分驗證。
- 絕無例外。沒有任何程式碼、復原流程或技術支援可以取代生物辨識技術。風險絕對存在,因此控制措施也絕對有效。
- 外形尺寸也很重要。 Token 採用無線設計-透過藍牙近距離感應,無需 USB 介面。身份驗證只需一到三秒:使用者發起會話,將指紋輕觸 Token 設備,藍牙近距離感應確認使用者在三英尺範圍內,即可授予存取權限。
對於需要在多個工作站上工作的隨叫隨到管理員、交易大廳操作員和國防承包商而言,這消除了傳統硬體令牌造成的影子 IT 和變通行為所帶來的摩擦。
與基於 USB 的替代方案不同,Token 支援無線現場升級。隨著攻擊者不斷更新其工具,Token 的加密控制可以遠端即時更新,無需更換硬體或重新發放設備。即使威脅情勢發生變化,這項投資也不會失效。令牌驗證的是人,不是會話、裝置或程式碼,而是人本身。
誠實的評估
Figure 的資料外洩事件將引發後續的身份驗證攻擊。下一次洩漏事件,以及再下一次洩漏事件,都會如此。攻擊者的基礎設施會持續不斷地利用洩漏的電子郵件記錄,發動憑證填充、人工智慧產生的網路釣魚攻擊和即時中繼攻擊。
相關的問題是,你的身分驗證架構是否需要人為判斷才能成功──或者它的設計是否使得人為判斷不會成為失敗點。
傳統多因素身份驗證(MFA)的各種常見形式都需要人為判斷。使用者必須識別異常情況,質疑提示訊息,並在對抗壓力下做出正確決策。這是一個關鍵控制點上的脆弱依賴,攻擊者已經建立了一整套工具鏈來利用它。
令牌消除了這種依賴性。設備透過已確認的生物特徵匹配對合法域進行簽署——否則不執行任何操作。無需任何操作提示。無需任何人為決策。沒有任何例外情況。那並非一項功能,而是身份驗證的架構要求,在本次安全漏洞以及所有類似漏洞所造成的條件下,這項要求必須成立。
資料來源:https://www.bleepingcomputer.com/news/security/when-attackers-already-have-the-keys-mfa-is-just-another-door-to-open/