帳號接管(Account Takeover, ATO)的攻擊模式正在發生根本性的轉移。過去十年,攻擊者的標準劇本是透過 Credential Stuffing(憑證填充,即利用大量從其他平台洩露的帳號密碼,嘗試登入目標系統)來獲取權限。這種方式成本低且可大規模自動化,但隨著 Passkeys(通行金鑰,一種基於 FIDO 標準、抗釣魚且無需密碼的認證方式)的普及,傳統的密碼盜取已逐漸失效。
當登入的正面大門被鎖死後,攻擊者並未放棄,而是將目標轉向了系統中相對脆弱的下游環節:身份驗證與恢復流程。
身份驗證成為新的攻擊主戰場
在現代系統架構中,除了初次登入,還存在許多需要再次確認使用者身份的場景,例如帳號恢復、重新綁定設備、執行高風險交易時的 Step-up Verification(階梯式驗證,指在執行敏感操作時要求更高強度的認證)。這些流程往往成為安全鏈條中最薄弱的一環。
一個典型的漏洞是 Magic Link(魔術連結,透過電子郵件發送一次性登入連結)。雖然對使用者很方便,但如果攻擊者能透過攔截未經驗證的行動端 Deep Link(深層連結)、入侵電子郵件信箱或利用 SIM Swap(SIM 卡劫持)重新導向流量,就能直接繞過主認證流程,輕易接管帳號。
生成式 AI 讓冒充攻擊低成本化
除了流程漏洞,生成式 AI 的成熟讓身份驗證本身的可靠性受到挑戰。現在的攻擊者不再僅僅是偷密碼,而是直接偽造身份。
透過 Deepfake(深度偽造)技術,攻擊者可以產生極其逼真的自拍照片、注入虛假的視訊流或合成偽造的文件。當驗證系統僅僅假設前端傳入的影像或文件是真實的,而缺乏有效的檢測機制時,這種 Impersonation Fraud(冒充詐騙)將變得極其高效。根據最新數據,大部分的身份詐騙已轉向使用 AI 生成的合成媒體。
工程實務上的防禦演進方向
面對這種轉移,防禦策略必須從單純的認證(Authentication)升級到更深層的驗證(Verification)。
第一,導入 Intent Binding(意圖綁定)。 單純證明你是誰已經不夠了,系統還需要證明你「現在正打算做什麼」。意圖綁定是指透過加密方式,將驗證後的身份與特定的交易指令或操作請求綁定在一起。這樣即使攻擊者攔截了驗證結果,也無法將其用於未經授權的其他操作。
第二,從單點檢查轉向網絡效應數據。 單一的驗證點很容易被繞過。有效的防禦需要分析跨會話、跨設備與跨網絡的行為模式。透過大規模的數據分析,系統可以在攻擊擴散前,偵測出協同作戰的異常行為,而非僅依賴單次的文件或生物特徵檢查。
第三,淘汰脆弱的認證因子。 SMS-OTP(簡訊一次性密碼)由於容易被攔截,正迅速被淘汰。業界正朝向抗釣魚的憑證(Phishing-resistant credentials)以及更強的生物特徵活體檢測(Liveness Detection)邁進。
給開發與安全工程師的實務建議
如果你正在設計或維護身份管理系統,請考慮以下優先順序:
將無密碼認證與生物特徵活體檢測視為基礎需求,而非加分功能。活體檢測能有效區分真實人類與 AI 合成的影像,能顯著降低 ATO 的成功率。
重新審視所有重新驗證、魔術連結與階梯式驗證的流程。將這些流程視為與初次註冊同等高風險的事件,給予同等級的安全審查。
實施基於風險的動態驗證(Risk-based Re-verification)。不要使用單一的靜態檢查,而是根據操作風險等級、設備信譽與行為異常度,動態決定需要多強的驗證強度。
預設所有傳入的媒體文件都可能是合成的。在設計系統時,必須將驗證後的身份與具體的執行意圖綁定,避免驗證權限被劫持後用於非法操作。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。