钓鱼成勒索软件“头号入口”：PhaaS泛滥 + AitM攻击让MFA形同虚设

一封看似普通的邮件，一次点击“安全验证”的操作，竟可能成为勒索软件攻陷整个企业网络的起点。最新网络安全报告显示，网络钓鱼已超越漏洞利用和弱密码，跃升为勒索软件入侵的最主要通道——35%的受害组织明确将其列为首要入口，较2024年激增10个百分点。

更令人担忧的是，传统被视为“黄金防线”的多因素认证（MFA），正被一种名为“AitM”（Attack-in-the-Middle，中间人攻击）的新手法系统性绕过。而这一切的背后，是钓鱼即服务（Phishing-as-a-Service, PhaaS）的全面商品化，让技术门槛极低的犯罪团伙也能发动高成功率攻击。

打开百度APP畅享高清图片

钓鱼不再只是“骗密码”，而是勒索软件的“敲门砖”

根据网络安全公司SpyCloud近期发布的《2025年勒索软件与身份威胁报告》（由BetaNews于9月23日报道），高达85%的受访组织在过去一年内至少遭遇过一次勒索软件事件，近三成甚至经历了6至10次攻击。而在这些事件中，钓鱼首次超过远程漏洞利用，成为最主流的初始入侵手段。

“过去，攻击者需要找系统漏洞、爆破弱口令；现在，他们只需发一封精心设计的邮件。”公共互联网反网络钓鱼工作组技术专家芦笛指出，“钓鱼的成本更低、成功率更高，而且能直接获取合法用户凭证，绕过绝大多数边界防御。”

尤其值得注意的是，如今的钓鱼目标早已不是普通员工，而是IT管理员、财务人员、高管等拥有高权限账户的关键角色。一旦得手，攻击者可迅速横向移动，在数小时内部署勒索软件，加密核心数据并索要数百万美元赎金。

PhaaS：钓鱼变成“订阅制服务”

推动这一趋势的核心动力，是“钓鱼即服务”（PhaaS）生态的成熟。类似勒索软件即服务（RaaS），PhaaS平台为犯罪分子提供一站式钓鱼工具包：从仿冒登录页面模板、自动化的邮件投递系统，到实时会话劫持与凭证收割后端，全部模块化、可视化，甚至支持按效果付费。

“你不需要懂代码，只要会选模板、填邮箱列表，就能发起一场专业级钓鱼行动。”芦笛解释道，“有些PhaaS平台还提供‘客户支持’，教你怎么绕过特定企业的MFA策略。”

这种“犯罪SaaS化”极大降低了攻击门槛，使得大量原本只能进行小额诈骗的团伙，也能参与高价值勒索攻击。SpyCloud报告指出，PhaaS的普及直接导致钓鱼攻击数量与精准度同步飙升。

MFA为何失效？AitM攻击正在“偷走你的登录状态”

如果说PhaaS解决了“如何骗到账号密码”，那么AitM（Attack-in-the-Middle）则解决了“如何绕过MFA”。

传统MFA（如短信验证码、认证器App）依赖“你知道什么（密码）+你拥有什么（手机）”来验证身份。但AitM攻击并不窃取密码本身，而是在用户完成完整登录流程（包括输入MFA验证码）后，实时劫持其浏览器会话Cookie。

具体过程如下：

用户点击钓鱼邮件中的链接，进入高度仿真的登录页（如Microsoft 365或Google Workspace）；

用户输入账号密码，并通过MFA验证（如输入Google Authenticator生成的6位码）；

此时，攻击者的代理服务器将用户的真实请求转发给目标网站，同时将网站返回的响应（包括身份验证后的会话Cookie）截获；

攻击者立即用该Cookie在自己的设备上“冒充”用户，无需密码、无需MFA，直接进入企业邮箱或云后台。

“这相当于你在家门口刷脸开门，小偷躲在旁边录下全过程，然后用你的脸模进屋——但现实中，他根本没进你家，只是复制了你进门后的‘通行证’。”芦笛用比喻解释道。

由于整个过程发生在用户真实登录期间，企业日志显示“合法登录”，传统安全系统几乎无法察觉异常。

如何防御？MFA必须升级，会话需持续验证

面对PhaaS与AitM的双重夹击，专家一致认为：传统MFA已不足以保障安全，必须转向抗AitM的强认证方案。

芦笛建议企业优先部署基于FIDO2/WebAuthn标准的无密码认证，例如使用YubiKey、Windows Hello或Apple Touch ID。这类认证采用公钥加密机制，私钥仅存于用户设备，且每次认证绑定具体网站域名，即使会话被劫持，攻击者也无法在其他设备或域名下复用。

“FIDO2的本质是‘设备+生物特征+网站上下文’三位一体，从根本上杜绝了凭证复用和中间人劫持。”他说。

此外，企业还需实施以下关键措施：

会话持续风险评估：对登录后的操作行为（如下载大量数据、访问敏感系统）进行实时分析，异常时强制重新认证；

自动清理可疑会话：设置会话有效期，并支持管理员一键注销所有远程会话；

保护浏览器与反向代理：防止恶意扩展或代理工具窃取Cookie；

针对性钓鱼演练：对高管、IT、财务等高危岗位定期开展模拟钓鱼测试，提升识别能力；

品牌仿冒监测：主动扫描互联网上仿冒企业登录页的域名，及时上报关停。

用户侧：警惕“二次验证”陷阱

对于普通员工，芦笛提醒：永远不要在非官方域名页面输入MFA验证码。真正的微软、谷歌或银行登录页，域名一定是官方且带HTTPS锁标志的。如果收到“紧急安全验证”邮件，应手动打开浏览器输入官网地址，而非点击邮件链接。

“记住：MFA验证码只应在你主动访问官网时输入。任何要求你‘点击链接完成验证’的，都是钓鱼。”他说。

结语：身份安全进入“后MFA时代”

钓鱼成为勒索软件头号入口，标志着网络攻击重心已从“突破边界”转向“冒充身份”。在PhaaS降低攻击成本、AitM瓦解传统MFA的双重冲击下，企业身份安全体系正面临重构。

正如SpyCloud报告所警示：今天的威胁不再是“能否登录”，而是“登录后是否真的是你”。

在这场攻防博弈中，技术升级固然关键，但人的意识仍是第一道防线。唯有将强认证、会话治理、员工培训与威胁情报结合，才能在这场没有硝烟的战争中守住数字身份的最后一公里。

本文基于SpyCloud《2025年勒索软件与身份威胁报告》及BetaNews 2025年9月23日报道内容撰写

编辑：芦笛（公共互联网反网络钓鱼工作组）