文章总结： 文档阐述了信息窃取者如何利用窃取的凭证与会话数据关联真实身份，打破个人与企业安全边界。基于大量泄露数据分析，指出职业社交平台及敏感服务数据风险极高。建议采取持续扫描泄露库的密码策略，强制阻断凭证重用，从而缩短攻击利用窗口并有效遏制勒索软件等下游威胁。 综合评分： 78 文章分类： 威胁情报,数据泄露,社会工程学,安全建设

社工 ：信息窃取者如何将窃取的凭证转化为真实身份

暗镜

2026年2月21日 06:01 辽宁

现代信息窃取者已将凭证窃取范围远远扩大到用户名和密码之外。过去一年，此类攻击活动愈演愈烈，目标用户几乎不区分企业员工和使用个人设备的个人用户。

这些感染通常会窃取凭证以及更广泛的会话数据和用户活动信息。由此产生的数据集会被初始访问代理聚合并出售，然后被重复用于针对个人和企业环境的攻击。

为了更好地了解此活动的范围和影响，Specops 研究人员分析了超过 90,000 个泄露的信息窃取程序转储文件，其中包含在活跃感染期间收集的超过 8 亿行数据。

数据集包括凭据、浏览器 cookie、浏览历史记录以及存储在受感染机器上的系统级文件。

由此可见，信息窃取程序如何让攻击者将技术数据与真实用户、组织和行为模式关联起来，使得一次感染在最初的入侵之后很长一段时间内仍然具有价值。

当被盗凭证变成身份数据时

最大的风险在于信息窃取者可以轻易地将多个账户和行为关联到同一个真实用户。这些泄露的数据通常会暴露跨服务重复使用的账户名、Windows 用户名、用户目录中存储的文件、活动会话数据以及跨环境的详细活动记录。

这些信号结合起来，可以让攻击者从单个被盗凭证扩展到识别个人、其雇主，甚至可能识别其在组织中的角色。

这种融合打破了许多安全模型仍然假定存在的个人身份和职业身份之间的界限。最初可能只是个人设备上的安全漏洞，但很快就会升级为企业级风险。

Specops 密码策略通过持续扫描 Active Directory 与包含超过 54 亿条已知泄露凭据的数据库进行比对，帮助组织打破这种联系，而不仅仅是在创建或重置密码时进行检查。

即使凭证在技术上符合策略，已泄露的凭证也会被阻止设置或重复使用，从而降低泄露的密码在个人和企业帐户中重复使用的风险。

信息窃取者从哪里获取你的数据，以及他们如何滥用这些数据。

该数据集包含与各种服务相关的凭据和会话数据，说明了信息窃取者数据如何暴露身份和访问权限。

专业及企业相关服务

LinkedIn、GitHub、Microsoft Teams、Outlook 和企业域名在数据集中频繁出现。仅 LinkedIn 就占了近 90 万条记录，这为从被盗数据直接获取真实姓名、职位和组织机构信息提供了途径。

对于威胁行为者而言，这些信息能够实现有针对性的网络钓鱼、社会工程攻击以及访问权限的优先级排序，从而可能深入企业环境，尤其是在存在密码重复使用的情况下。

个人身份和社会平台

YouTube、Facebook 和类似的社交媒体平台也频频出现。这些服务通常包含真实姓名、照片和社交关系信息，因此更容易验证被盗用户的身份，并将其与其他账户关联起来。

这种相关性使得有针对性的攻击更容易发生。

敏感和高风险服务

该数据集还包含与敏感服务相关的凭证和 Cookie，包括政府和税务相关领域（例如美国国税局和加拿大税务局）以及成人内容平台。访问这些服务带来的风险远不止传统的账户盗用。

在以往的案例中，不法分子曾利用成人平台上的数据进行敲诈勒索。一旦这些活动能够追溯到个人的真实身份和雇主，其潜在影响就会迅速升级。

具备安全意识但仍暴露在外

数据集中出现了 Shodan 甚至 mil.gov 等域名，这印证了一个令人不安的现实：技术意识并不等于免疫力。

企业环境中遵循的安全措施并不总是适用于个人系统，但这些系统上的风险暴露仍然可能造成企业风险。

为什么信息窃取者仍然如此有效

信息窃取攻击并非由单一故障造成，而是由多种常见行为大规模重复发生所致。用户从非法来源安装应用程序，在个人和企业账户中重复使用密码，并为了方便而依赖基于浏览器的凭据存储。

浏览器存储的凭证和支付数据对攻击者来说尤其有价值。

当信息窃取者入侵系统时，这些存储为攻击者提供了立即访问高价值信息的途径，从而显著增加了单次感染的影响。

减少凭证盗窃后的影响

一旦信息窃取者收集并传播了数据，预防就不再是唯一的挑战。真正的问题在于，防御者能否在数据被用于横向移动、账户劫持或勒索软件部署之前，迅速将其清除。

由于信息窃取程序泄露的数据通常会在被发现之前传播数周或数月，因此有效的缓解措施必须假设某些凭证已经泄露。

密码重复使用仍然是攻击者窃取信息的最可靠手段之一。从个人设备中获取的凭证通常会被用于攻击企业环境、云服务和远程访问系统，即使这些密码符合标准的复杂度要求，也往往能够成功破解。

直接干扰重用会降低信息窃取数据集的运营价值，并缩短其利用窗口期。

结合支持更长密码短语和持续强制执行的更强大的密码策略，这些控制措施将密码安全从静态配置转变为主动遏制措施。

身份泄露越来越多地发生在企业边界之外，因此减少被盗凭证的重复使用及其下游影响仍然是打破信息窃取者驱动的攻击链的最有效方法之一。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 《社工 ：信息窃取者如何将窃取的凭证转化为真实身份》