[原创]“钥匙”被盗：2025年凭据泄露的激增与防御之道

引言 当网络攻击事件发生时，我们常想到的是复杂的软件漏洞。但现实中，最普遍、最致命的攻击方式是什么？答案是“凭据泄露”——这把简单的“数字钥匙”正成为网络犯罪的首选工具。 Verizon 2025年报告，指出22%的数据泄露源于被盗凭据--这一令人瞩目的数据充分说明了泄露凭证作为攻击手段的普遍性。报告地址：720K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2$3k6i4u0A6P5X3!0F1i4K6u0W2j5$3!0E0i4K6u0r3j5Y4g2K6K9h3&6W2M7%4y4Q4x3V1k6J5k6i4y4G2N6i4u0U0k6i4y4Q4x3V1k6f1j5K6f1#2i4K6u0r3M7X3g2H3L8%4u0@1M7#2)9J5c8U0t1H3x3U0g2Q4x3X3c8V1j5X3W2J5i4K6u0V1k6r3q4@1j5g2)9J5k6r3u0J5k6h3q4U0K9q4)9J5k6r3W2F1N6X3g2K6N6r3W2Y4j5i4c8A6L8$3&6K6i4K6u0V1M7X3g2H3L8%4u0@1i4K6u0W2M7r3c8X3一、基础知识：什么是凭据你可以把“凭据”（Credentials）想象成你进入各种“数字房间”的**钥匙和锁的组合**。它不是单指一个东西，而是一对信息，用来证明“你就是你”。(一）最常见、最基础的凭据就是：用户名 (Username)：你的“名字”或“账号”，用来标识你是谁。密码 (Password)：你的“秘密口令”，用来证明你有权使用这个账号。简单来说，凭据 = 用户名 + 密码。（二）你每天都在使用凭据：登录你的微信、QQ、微博账号。登录你的邮箱（如Gmail、163邮箱）。登录你的工作电脑或公司系统。登录你的银行APP或购物网站（如淘宝、京东）。（三）除了用户名和密码，更高级的凭据还包括：API密钥：一种特殊的“密码”，让不同的软件或服务能自动互相通信。比如，一个天气APP用API密钥从气象局服务器获取数据。访问令牌 (Access Tokens)：在你登录后，系统发给你的一个临时“通行证”，让你在一段时间内无需重复输入密码就能使用服务。二、隐患重重：凭据泄露会带来什么灾难？如果攻击者偷到或从其它途径获得了你的凭据，就等于他拿到了你家的钥匙。他可以大摇大摆地进去，做很多坏事：（一）直接“使用”：攻击者可以用你的账号密码，直接登录你的邮箱、社交账号或工作系统。一旦进入，他就能：偷看你的隐私：阅读你的私人邮件、查看你的聊天记录、翻看你的照片。冒充你行骗：用你的微信给你的朋友发消息借钱，或者用你的工作邮箱给同事发钓鱼邮件，让大家上当。盗取你的钱：如果你的支付软件或银行账号凭据也被泄露，他可以直接转账或购物。（二）一“密”多吃攻击者还会通过“撞库”攻击，一串密码“通吃”多个账号：很多人为了省事，会在不同的网站（比如淘宝、微博、银行）使用同一个密码。攻击者拿到你在一个小网站泄露的密码后，会尝试用这个密码去登录你的其他重要账号。这就像偷到一把万能钥匙，能打开你所有的门。（三）成为“帮凶”1.成为“僵尸”或“肉鸡”：攻击者可以利用你被泄露的账号，在后台发送大量垃圾邮件（Spam）或进行网络攻击，而你却毫不知情。你的账号就成了攻击者的“机器人”。2.对公司造成巨大危害：如果一个公司员工的工作账号凭据被泄露，攻击者就能进入公司的内部系统。利用该凭据的权限形成网络攻击的突破口这可能导致：核心数据泄露：客户信息、商业机密、财务数据被窃取。系统瘫痪：攻击者植入恶意软件，导致公司业务中断。品牌声誉受损：如果客户信息被泄露，公司的信誉会受到严重打击。三、根本原因：凭据是如何泄露的攻击者有多种“偷钥匙”的方法，最常见的有以下几种：（一）钓鱼攻击 (Phishing)这是最常用也最有效的手段。攻击者会伪装成你信任的人或机构（比如银行、快递公司、你的领导），给你发一封非常逼真的假邮件、假短信或假电话。邮件钓鱼：邮件里说“你的账号异常，请点击链接立即验证”，链接会跳转到一个和真网站一模一样的假网站，你一输入账号密码，信息就直接被攻击者偷走了。短信钓鱼 (Smishing)：发一条短信说“ETC过期，请点击链接更新”，同样是假链接。电话钓鱼 (Vishing)：冒充银行客服打电话给你，套取你的银行卡号和密码（二）信息窃取软件 (Infostealers)这是一种恶意软件。当你不小心下载了带病毒的文件或访问了恶意网站，这种软件就会偷偷安装在你的电脑或手机上。它会记录你按下的每一个键（这叫“键盘记录器”），所以你输入密码时，它就记下来了。它会偷走你浏览器里自动保存的密码。它会扫描你的电脑，把所有能找到的账号密码文件都打包发给攻击者。（三）攻击数据库 (Hacked Databases)：很多网站会把所有用户的账号密码存放在他们的服务器数据库里。如果这个数据库的安全防护做得不好，攻击者就能直接“黑”进去，把整个数据库的数据（包括你的凭据）都拷贝走。这就是所谓的“数据泄露”。你可能在新闻里听过“XX网站上亿用户数据泄露”的新闻，指的就是这种情况。（四）直接购买攻击者之间会进行交易。一个攻击者通过上述方法偷到一批凭据后，会把它们打包成“组合列表”（Combo-lists），然后在卖给其他攻击者。所以，很多时候黑客用的凭据并不是他自己偷的，而是花钱买来的（也可能来自内鬼）。（五）弱口令或默认密码攻击者有时候会对要攻击的系统进行弱口令检测（如：使用默认的账号密码或容易被猜到的账号密码），若检测到了属于间接泄露。四、针对加固：降低损失与防御（一）预防层面：加强身份鉴别机制1.多因素认证机制 常规的账密验证机制泄露后可被直接利用，若相关系统有多因素认证机制，如：除了输入正确的账密验证你身份外还通过想你发送验证码进行二次验证，即使攻击者获得了你的账号密码也不能直接利用（未使用漏洞绕过该机制和其它攻击手法，防御不能完全说万无一失，是个对抗的过程）2.异常检测（1）IP异常 检测登录IP若异常（如IP归属地）则自动退出，需进行验证后才可继续登录（并提示需要修改登录密码，才可继续登录，虽然繁琐了一些但增强了利用难度）（2）设备异常 检测登录终端异常（如新电脑）则自动退出，需进行验证后才可继续登录（并提示需要修改登录密码，才可继续登录，虽然繁琐了一些但增强了利用难度）（3）登录频率 检测一段时间内登录频率过高或有设备已登录又有登录请求则自动退出所有登录账号，并需进行验证后才可继续登录（并提示需要修改登录密码，才可继续登录，虽然繁琐了一些但增强了利用难度） 或一个账号一段时间内有多次错误的登录请求（常规知道密码的情况下，输入错误3次很难）3.安全意识增强 自身加强相关安全意识，如定期更换密码，严禁密码复用，预防钓鱼和内网攻击。（1）可疑邮件不查看：练就“火眼金睛”，从源头切断风险 这不仅仅是“不看”那么简单，而是要培养一种怀疑和验证的习惯。保持警惕，永不信任原则，对所有非主动发起的邮件、短信、即时消息（如微信、QQ）都抱有“这是假的”的初始怀疑态度。无论发件人看起来多么可信（如“银行”、“快递”、“IT部门”、“领导”），都要先验

...(已截断)

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-287959.htm