近期，网络安全研究人员监测到针对员工登录凭证的身份驱动型网络攻击显著增加。eSentire的报告显示，2024年至2025年一季度，身份相关安全事件激增156%，此类威胁在企业中占比高达59%。钓鱼即服务（PhaaS）平台的兴起，尤其是Tycoon 2FA，通过中间人攻击绕过双因素认证，成为主要攻击工具。同时，信息窃取器如Lumma也提供了低成本的凭证获取途径。FBI数据显示，凭证窃取造成的经济损失巨大，身份攻击的回报率已超越传统漏洞利用。报告建议企业部署钓鱼攻击免疫的身份验证技术、实施零信任架构，并建立实时访问监控机制。

🎣 钓鱼即服务（PhaaS）是推动凭证窃取的主要力量。Tycoon 2FA平台通过提供中间人攻击（AitM）能力绕过双因素认证（2FA），成为2025年1-5月最活跃攻击工具。攻击者以月租200-300美元的价格获得伪装邮件模板、突破MFA防护的中间人攻击模块、反调试与规避检测工具、内置凭证窃取功能以及客户支持和定期更新。

🔑 信息窃取器提供了低成本的凭证获取途径。攻击者通过Lumma窃密程序等工具批量获取凭证，单份窃密日志仅售10美元。这些日志可能包含邮箱/银行服务登录凭据、密码管理器数据库、加密钱包及浏览器扩展数据、VPN/FTP客户端及本地文件。Lumma内置自动化过滤机制，加速了凭证利用和销赃过程。

💰 凭证窃取呈现高回报特性，造成的经济损失巨大。据FBI统计，2013年至今全球累计发生超30万起商业邮件欺诈案件，造成550亿美元损失。2025年第一季度，信息窃取器占eSentire阻断恶意软件的35%，身份攻击的经济回报率已超越传统漏洞利用。

🛡️ 企业应采取关键防御措施。eSentire TRU建议企业部署钓鱼攻击免疫的身份验证技术、实施零信任架构、建立实时访问监控机制，以应对不断蔓延的身份驱动型网络攻击。

HackerNews 编译，转载请注明出处：

网络安全研究人员监测到针对员工登录凭证的身份驱动型网络攻击激增。eSentire威胁响应部门（TRU）最新报告显示：2024年至2025年一季度期间，该机构处理的1.9万起身份相关安全事件同比激增156%，此类威胁在其服务的2000余家企业中占比高达59%。

钓鱼即服务（PhaaS）推动凭证窃取

Tycoon 2FA平台成为主要推手：该钓鱼即服务平台通过提供中间人攻击（AitM）能力绕过双因素认证（2FA），已超越EvilProxy等竞品成为2025年1-5月最活跃攻击工具。攻击者以月租200-300美元（约合人民币1450-2170元）获取以下服务：

伪装成可信来源的邮件模板突破MFA防护的中间人攻击模块反调试与规避检测工具内置凭证窃取功能客户支持及定期更新

攻击者利用该平台实施商业邮件欺诈（BEC）：主要针对应收账款部门员工，窃取其凭证后篡改支付路径，将企业资金转入攻击者控制账户。

信息窃取器提供低成本替代方案

攻击者通过Lumma窃密程序等工具批量获取凭证：地下市场中单份窃密日志仅售10美元（约合人民币72元），每份日志可能包含数十项高价值数据：

邮箱/银行服务登录凭据密码管理器数据库加密钱包及浏览器扩展数据VPN/FTP客户端及本地文件

该窃密程序自2022年活跃至今，其内置自动化过滤机制可快速识别高价值数据，大幅缩短凭证利用周期，并通过”Russian Market”等黑市加速销赃。

凭证窃取呈现高回报特性

据FBI统计：2013年至今全球累计发生超30万起商业邮件欺诈案件，造成550亿美元（约合人民币3980亿元）损失。2025年第一季度，信息窃取器占eSentire阻断恶意软件的35%，身份攻击的经济回报率已超越传统漏洞利用。

防御建议

eSentire TRU预测此类威胁将持续蔓延，呼吁企业采取三项核心措施：部署钓鱼攻击免疫的身份验证技术、实施零信任架构、建立实时访问监控机制。

 

 

 

---

消息来源： infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文