账户接管 (ATO)
账户接管 (ATO) 是什么?
账户接管 (ATO)犯罪者非法控制合法用户账户,用以盗取资金、数据或实施进一步欺诈的攻击。
账户接管发生在攻击者获取受害者账户的有效凭据、会话令牌或恢复通道后,以该用户身份登录。常见途径包括钓鱼、信息窃取木马、利用已泄露密码的撞库、SIM 卡置换以拦截短信验证码、OAuth 同意滥用,以及账户恢复流程中的弱点。一旦进入账户,犯罪者会窃取数据、盗刷钱包、变更工资发放、利用受信任地址发送钓鱼,或横向渗透到其他系统。
撞库是最为产业化的一条路径。在2023 年 23andMe 泄露事件中,攻击者从 2023 年 4 月起约五个月内,将从无关网站泄露的用户名/密码组合在其登录页面反复重放。直接被攻破的账户只有约 14,000 个——但由于 23andMe 未强制启用 MFA,且 DNA Relatives(DNA 亲属)功能暴露了相互关联的资料,入侵者得以抓取约 690 万人的基因和血缘数据。该案例表明,密码重用加上缺失的 MFA 如何把寥寥数个被攻破的登录变成大规模数据泄露,以及为何检测持续的、分布式的登录尝试至关重要。
缓解措施包括抗钓鱼的多因素认证(FIDO2/Passkey)、设备绑定、基于异常的登录分析、对高风险操作进行二次验证(step-up)、对已泄露密码进行筛查(与 NIST SP 800-63B 对齐)、在登录环节进行速率限制和机器人检测,以及在发现滥用时迅速吊销会话和令牌。
flowchart LR
L[泄露的凭据 /<br/>钓鱼 / 信息窃取木马] --> A[攻击者]
A --> B{登录尝试}
B -->|无 MFA| C[账户被攻破]
B -->|抗钓鱼 MFA<br/>+ 异常检测| D[拦截 / 二次验证]
C --> E[数据窃取、欺诈、<br/>抓取关联资料]
C --> F[横向渗透 /<br/>从受信任账户发送钓鱼]
D -.->|风险评分| G[吊销会话与令牌]● 示例
- 01
利用其他网站泄露的密码登录银行门户。
- 02
2023 年 23andMe 撞库泄露事件,暴露了约 690 万用户的数据。
● 常见问题
账户接管 (ATO) 是什么?
犯罪者非法控制合法用户账户,用以盗取资金、数据或实施进一步欺诈的攻击。 它属于网络安全的 攻击与威胁 分类。
账户接管 (ATO) 是什么意思?
犯罪者非法控制合法用户账户,用以盗取资金、数据或实施进一步欺诈的攻击。
如何防御 账户接管 (ATO)?
针对 账户接管 (ATO) 的防御通常结合技术控制与运营实践,详见上方完整定义。
账户接管 (ATO) 还有哪些其他名称?
常见的别称包括: 账号被盗, 账户劫持。