文章总结: 文档分析了2026年账户接管(ATO)攻击的威胁现状,指出初始权限售卖和凭证泄露是主要攻击来源。攻击技术包括凭证填充、会话劫持和AI增强手段,防御建议涵盖强化身份验证、行为监控和威胁情报整合。 综合评分: 82 文章分类: 威胁情报,漏洞分析,安全建设,安全意识,解决方案
Account Takeover (ATO) 账户接管:2026年持续演化的高风险网络威胁
原创
NightTeam NightTeam
夜组OSINT
2026年6月29日 07:30 青海 标题已修改
在小说阅读器读本章
去阅读
引言
Account Takeover(账号接管,简称ATO)是指攻击者通过窃取或破解用户凭证,非法控制合法用户账号的攻击行为。一旦得手,攻击者可进行诈骗交易、窃取敏感数据、更改账号信息或作为跳板发起进一步攻击。ATO已成为企业面临的最持久且代价高昂的欺诈威胁之一,尤其在银行、金融、电商和企业服务领域。
初始权限售卖(Initial Access Broker, IAB)和账户密码泄露情报是ATO攻击链条的关键上游来源。IAB在暗网市场上出售已 compromised 的网络初始访问权限(如VPN、RDP、域管理员凭证),而海量凭证泄露则为凭证填充攻击提供弹药。两者共同降低了攻击门槛,推动ATO规模化发展。
2026年,ATO攻击并未减弱,反而因AI工具的普及、凭证泄露泛滥和会话劫持等新手段而持续进化。根据多家报告,全球身份欺诈损失已超过数百亿美元,ATO是其中重要组成部分。
威胁现状与统计数据
- 高发频率:2024-2025年间,83%的组织至少经历过一次ATO事件,部分企业每周遭遇多次尝试。消费者层面,24%的受访者报告过去一年遭受ATO侵害。
- 经济损失:美国成人因ATO相关诈骗损失约156亿美元(2024数据),全球欺诈损失预计持续攀升。电商和金融服务是主要目标。
- 行业差异:教育领域受影响尤为严重(88%泄露率),金融服务次之。攻击增长率在某些报告中达到250%年同比。
- 市场趋势:ATO预防软件市场快速增长,预计从2025年的45亿美元左右扩张至2034年的185亿美元以上,复合年增长率约17%。
攻击者多为有组织犯罪团伙,利用暗网凭证市场和即服务(CaaS)工具降低门槛。
初始权限售卖情报(IAB活动)
Initial Access Brokers(初始访问经纪人)在地下论坛(如DarkForums、RAMP)活跃销售企业网络初始访问权限。2025下半年数据显示:
- 目标转向高价值大型组织,平均受害者收入达数十亿美元,售价显著上涨(部分高端访问价格暴增)。
- 常见出售物包括VPN/RDP访问、域管理员权限等,高特权访问需求增加。
- 价格分布:多数低至数百美元(便于批量销售),但高端访问可达高价。IAB活动推动低技能攻击者也能发起复杂攻击。
IAB销售直接为后续ATO、勒索软件等攻击提供入口,是攻击链的“初始访问”商品化体现。
账户密码泄露情报
账户密码泄露是ATO的最主要燃料:
- 大规模泄露:暗网存在数十亿条凭证记录,包括近期infostealer恶意软件收集的新鲜组合列表(combolists)。2025年发现的巨型集合甚至达到160亿条用户名/密码。
- 流通渠道:泄露凭证通过暗网市场、论坛、Telegram快速交易和共享,常与IAB访问打包出售。
- 利用方式:攻击者使用这些凭证进行credential stuffing,成功率虽低但规模巨大。仅5%左右凭证仍为强哈希保护,大部分可直接或快速破解使用。
泄露情报显示,凭证在地下生态中高度商品化,持续为ATO提供“弹药”。
常见攻击技术与演化趋势
- 凭证填充(Credential Stuffing)与暴力破解:直接利用泄露凭证和IAB提供的初始访问,通过自动化机器人进行登录尝试。这是ATO最主流手段,机器人可模拟人类行为并旋转IP。
- 钓鱼与社会工程:包括MFA疲劳攻击(反复推送验证请求)和SIM卡交换。APWG报告显示2025年钓鱼事件数量创高。
- 会话劫持与MFA绕过:攻击者窃取活跃会话令牌,或利用AI生成deepfake绕过生物识别。2026年会话滥用和凭证滥用趋势显著上升。
- AI增强攻击:Deepfake和合成身份使用激增(部分报告显示deepfake诈骗尝试三年增长超2000%)。机器人行为模拟越来越难以区分。
- 其他:恶意软件、API滥用、令牌操纵等。IAB提供的初始访问常与泄露凭证结合,形成复合攻击链。攻击往往跨渠道(Web、移动、API)进行。
2026年趋势:传统基于登录的检测效果减弱,攻击更注重会话后行为和身份碎片重用。IAB与凭证泄露的产业链化进一步放大威胁。
潜在影响
- 直接损失:诈骗转账、非法购买、退款滥用。
- 间接损害:声誉受损、监管罚款、客户流失、二次攻击(如利用被控账号发送内部钓鱼)。
- 供应链风险:IAB出售的企业访问或泄露凭证可导致BEC(商业邮件欺诈)等连锁事件。
检测与缓解最佳实践
有效防御需采用分层策略(Defense-in-Depth):
- 身份验证强化:强制使用强密码策略、唯一凭证;优先部署抗钓鱼的MFA(如FIDO2硬件密钥、Passkeys),避免仅依赖SMS。考虑向无密码认证过渡。
- 凭证泄露监控:集成暗网监控服务,实时检测组织域名相关的泄露凭证,并强制重置。优先处理高特权账号。
- IAB与初始访问防御:加强外部暴露面管理(RDP/VPN暴露、特权账户审计),采用零信任架构,持续监控异常初始访问尝试。
- 行为与异常检测:监控登录位置、设备指纹、会话行为、访问模式。建立基线,使用AI/机器学习识别偏差(如异常登录时间、快速操作)。
- 技术防护:实施速率限制、CAPTCHA/机器人检测、WAF、零信任架构。API安全至关重要(认证+授权)。
- 用户与员工教育:定期培训识别钓鱼和社会工程;启用账号变更通知。
- 事件响应:快速隔离受影响账号、撤销令牌、监控后续活动,并与银行/支付平台协作。
- 高级工具:利用专用ATO预防平台,这些平台结合威胁情报、设备指纹和实时分析。
组织应假设凭证已泄露和初始访问可能被售卖(“Assume Breach”心态),重点保护高价值账号(如管理员、金融、特权访问)。
结论与建议
ATO威胁在2026年仍将是网络安全与欺诈防御的核心战场,其低门槛、高回报特性吸引了广泛攻击者。初始权限售卖与账户密码泄露作为上游供应链,进一步放大了攻击规模。单纯依赖密码或传统MFA已不足够,企业需转向以行为分析、持续验证、凭证监控和威胁情报驱动的综合防护体系。
威胁情报全球监控系统
由全球威胁情报系统(cti.libaisec.com)实时监测发现,订阅会员即可查看威胁情报详情及原文。
dark.libaisec.com
监测内容
- 数据泄露事件
- 勒索软件事件
- DDoS攻击事件
- 恶意软件事件
- 访问权限售卖
- 网页篡改事件
- 日志泄露事件
- 网络钓鱼事件
- 漏洞情报监控
- ……
系统会员了解及订阅可联系以下微信,备注来源【威胁情报】
威胁情报
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:夜组OSINT NightTeam NightTeam《Account Takeover (ATO) 账户接管:2026年持续演化的高风险网络威胁》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论