开云体育,开云体育官方网站,开云体育APP下载一封看似普通的邮件，一次点击“安全验证”的操作，竟可能成为勒索软件攻陷整个企业网络的起点。最新网络安全报告显示，网络钓鱼已超越漏洞利用和弱密码，跃升为勒索软件入侵的最主要通道——35%的受害组织明确将其列为首要入口，较2024年激增10个百分点。

　　更令人担忧的是，传统被视为“黄金防线”的多因素认证（MFA），正被一种名为“AitM”（Attack-in-the-Middle，中间人攻击）的新手法系统性绕过。而这一切的背后，是钓鱼即服务（Phishing-as-a-Service, PhaaS）的全面商品化，让技术门槛极低的犯罪团伙也能发动高成功率攻击。

　　根据网络安全公司SpyCloud近期发布的《2025年勒索软件与身份威胁报告》（由BetaNews于9月23日报道），高达85%的受访组织在过去一年内至少遭遇过一次勒索软件事件，近三成甚至经历了6至10次攻击。而在这些事件中，钓鱼首次超过远程漏洞利用，成为最主流的初始入侵手段。

　　“过去，攻击者需要找系统漏洞、爆破弱口令；现在，他们只需发一封精心设计的邮件。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“钓鱼的成本更低、成功率更高，而且能直接获取合法用户凭证，绕过绝大多数边界防御。”

　　尤其值得注意的是，如今的钓鱼目标早已不是普通员工，而是IT管理员、财务人员、高管等拥有高权限账户的关键角色。一旦得手，攻击者可迅速横向移动，在数小时内部署勒索软件，加密核心数据并索要数百万美元赎金。

　　推动这一趋势的核心动力，是“钓鱼即服务”（PhaaS）生态的成熟。类似勒索软件即服务（RaaS），PhaaS平台为犯罪分子提供一站式钓鱼工具包：从仿冒登录页面模板、自动化的邮件投递系统，到实时会话劫持与凭证收割后端，全部模块化、可视化，甚至支持按效果付费。

　　“你不需要懂代码，只要会选模板、填邮箱列表，就能发起一场专业级钓鱼行动。”芦笛解释道，“有些PhaaS平台还提供‘客户支持’，教你怎么绕过特定企业的MFA策略。”

　　这种“犯罪SaaS化”极大降低了攻击门槛，使得大量原本只能进行小额诈骗的团伙，也能参与高价值勒索攻击。SpyCloud报告指出，PhaaS的普及直接导致钓鱼攻击数量与精准度同步飙升。

　　传统MFA（如短信验证码、认证器App）依赖“你知道什么（密码）+你拥有什么（手机）”来验证身份。但AitM攻击并不窃取密码本身，而是在用户完成完整登录流程（包括输入MFA验证码）后，实时劫持其浏览器会话Cookie。

　　用户输入账号密码，并通过MFA验证（如输入Google Authenticator生成的6位码）；

　　此时，攻击者的代理服务器将用户的真实请求转发给目标网站，同时将网站返回的响应（包括身份验证后的会话Cookie）截获；

　　攻击者立即用该Cookie在自己的设备上“冒充”用户，无需密码、无需MFA，直接进入企业邮箱或云后台。

　　“这相当于你在家门口刷脸开门，小偷躲在旁边录下全过程，然后用你的脸模进屋——但现实中，他根本没进你家，只是复制了你进门后的‘通行证’。”芦笛用比喻解释道。

　　由于整个过程发生在用户真实登录期间，企业日志显示“合法登录”，传统安全系统几乎无法察觉异常。

　　面对PhaaS与AitM的双重夹击，专家一致认为：传统MFA已不足以保障安全，必须转向抗AitM的强认证方案。

　　芦笛建议企业优先部署基于FIDO2/WebAuthn标准的无密码认证，例如使用YubiKey、Windows Hello或Apple Touch ID。这类认证采用公钥加密机制，私钥仅存于用户设备，且每次认证绑定具体网站域名，即使会话被劫持，攻击者也无法在其他设备或域名下复用。

　　“FIDO2的本质是‘设备+生物特征+网站上下文’三位一体，从根本上杜绝了凭证复用和中间人劫持。”他说。

　　会话持续风险评估：对登录后的操作行为（如下载大量数据、访问敏感系统）进行实时分析，异常时强制重新认证；

　　针对性钓鱼演练：对高管、IT、财务等高危岗位定期开展模拟钓鱼测试，提升识别能力；

　　对于普通员工，芦笛提醒：永远不要在非官方域名页面输入MFA验证码。真正的微软、谷歌或银行登录页，域名一定是官方且带HTTPS锁标志的。如果收到“紧急安全验证”邮件，应手动打开浏览器输入官网地址，而非点击邮件链接。

　　“记住：MFA验证码只应在你主动访问官网时输入。任何要求你‘点击链接完成验证’的，都是钓鱼。”他说。

　　钓鱼成为勒索软件头号入口，标志着网络攻击重心已从“突破边界”转向“冒充身份”。在PhaaS降低攻击成本、AitM瓦解传统MFA的双重冲击下，企业身份安全体系正面临重构。

　　正如SpyCloud报告所警示：今天的威胁不再是“能否登录”，而是“登录后是否真的是你”。

　　在这场攻防博弈中，技术升级固然关键，但人的意识仍是第一道防线。唯有将强认证、会话治理、员工培训与威胁情报结合，才能在这场没有硝烟的战争中守住数字身份的最后一公里。

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　作家、书画家、摄影师、CNNIC工程师。毕业于鲁迅美术学院。2014-2016年周游亚欧非各国

　　家里8个娃集体开哭，摇奶器加爷爷忙到冒烟都镇不住，爷爷在摇奶和哄娃之间选择了“做法”

　　备孕爸爸注意！Nat Commun｜父系新冠感染可能会改变RNA，并导致后代焦虑风险升高

　　NuPhy 推出 Node 75 三模机械键盘：触控条 + 点阵灯，高矮轴可选

　　华为 FreeBuds Pro 5 搭配特定机型最高支持 4.6Mbps 无损音质

　　华为 Mate 70 Air 中框采用高分子与金属复合材料一体成型工艺

　　华为 Mate70 Air 首次可选 CPU：麒麟 9020A 和 B 有何区别

　　2000元档选它不踩雷！nova 14 活力版用得值，双十一更有多重福利