你的SaaS账户是怎么被"秒盗"的？

你有没有想过，一次普通的"IT部门来电"，可能让你在几分钟内失去整个公司的云端数据？

网络安全研究人员最近盯上了两个黑客团伙，他们的作案手法快得离谱——几乎完全在SaaS环境里操作，留下的痕迹少得可怜。一个叫Cordial Spider（外号BlackFile），另一个叫Snarky Spider。这俩团伙从2025年10月就开始活跃，作案风格高度相似，都是速战速决的数据盗窃+勒索。

最讽刺的是，他们根本不用什么高级漏洞。你的单点登录系统（SSO），那个让你"一键登录所有办公软件"的便利功能，反而成了他们最喜欢的后门。

电话那头不是IT，是骗子

整个攻击链条的起点，是一通电话。

CrowdStrike的研究人员描述得很直白：「在大多数情况下，这些对手使用语音钓鱼（vishing），引导目标用户访问恶意的、以单点登录为主题的中间人攻击页面，在那里捕获认证数据，然后直接进入与单点登录集成的SaaS应用程序。」

翻译一下：黑客冒充IT支持人员给你打电话，说"你的账户有异常，需要重新验证"。然后发你一个链接，页面长得跟公司登录页一模一样。你输入账号密码，甚至把多因素认证（MFA）的验证码也填了进去——但实际上，这些信息被实时转发给了黑客，同时你也被正常登录进系统。整个过程你毫无察觉。

这种"中间人攻击"（AiTM）的阴险之处在于，它完全绕过了MFA的保护。你以为的双重验证，变成了黑客的同步跳板。

CrowdStrike的报告点出了核心难题：「通过几乎完全在受信任的SaaS环境内操作，他们最小化了自己的痕迹，同时加速了产生影响的时间。速度、精准度和纯SaaS活动的结合，给防御者带来了重大的检测和可见性挑战。」

设备注册：一个被忽视的攻击面

拿到凭证只是第一步。真正让攻击者站稳脚跟的，是一个大多数人没注意过的功能：新设备注册。

这两个团伙的标准操作流程是：先移除受害者账户上已有的设备，然后注册一台新设备。这一步的关键在于绕过MFA——新设备一旦被信任，后续登录就不需要再次验证了。

但这里有个技术细节：SaaS平台通常会发邮件通知"您的账户在新设备上登录"。黑客怎么处理？

他们直接配置收件箱规则，自动删除这类通知邮件。等你发现不对劲的时候，数据可能已经被打包完毕了。

Google旗下的Mandiant在2026年1月的报告中提到，这两个团伙的攻击手法与ShinyHunters组织的勒索攻击"战术一致"——都是冒充IT人员打电话，骗取凭证和MFA验证码。

Palo Alto Networks的Unit 42和零售与酒店业信息共享与分析中心（RH-ISAC）上周的评估更进一步：他们"中等置信度"地认为CL-CRI-1116（即Cordial Spider）与The Com这个网络犯罪生态系统有关联。该团伙自2026年2月以来"积极针对零售和酒店业"，专门冒充IT帮助台人员实施语音钓鱼。

研究人员Lee Clark、Matt Brady和Cuong Dinh指出：「CL-CRI-1116的活动自2026年2月以来积极针对零售和酒店业，专门利用冒充IT帮助台人员的语音钓鱼攻击，结合钓鱼登录网站窃取凭证。」

"就地取材"的隐身术

这两个团伙另一个让人头疼的特点，是大量使用"就地取材"（Living-off-the-Land，LotL）技术。

简单说，他们不装恶意软件，只用系统自带的功能和合法工具。查询用户目录、导出数据、设置邮件规则——这些操作在日志里看起来都是正常的管理员行为。

为了隐藏真实位置，他们还使用住宅代理（residential proxies），让流量看起来来自普通家庭网络，绕过基于IP信誉的基础过滤。

攻击的后续阶段更具针对性：通过抓取内部员工目录，识别高权限账户，然后再次施展社会工程学手段。一旦拿到更高级别的访问权限，目标SaaS环境就彻底敞开了。

整个链条的设计思路很清晰：速度优先，痕迹最小化，完全在"可信"的环境内完成。传统的端点检测、网络监控工具，对这种纯云端的攻击链几乎束手无策。

为什么SaaS成了完美犯罪现场

这件事暴露了一个结构性问题。

企业上云之后，安全边界彻底改变了。以前的数据中心有防火墙、有网络分段、有物理隔离；现在的SaaS环境，边界就是每个员工的浏览器和一部手机。SSO本该简化安全管理，但当它被攻破时，也意味着"一次突破，全线失守"。

更麻烦的是检测盲区。攻击者全程使用合法功能，没有恶意软件签名，没有异常网络连接——你的安全运营中心（SOC）可能根本看不到告警。等发现数据被勒索时，攻击者早已完成数据外泄，只留下一封勒索信。

CrowdStrike强调的"时间加速"值得注意：这类攻击从初始访问到数据外泄，可能只需要几小时甚至更短。传统的应急响应流程，在SaaS环境下完全跟不上节奏。

防御者的困境与可能的出路

面对这种攻击，现有的安全架构有几个明显的短板。

第一是身份验证环节。MFA被绕过说明，单纯的"你知道什么+你有什么"已经不够，需要更严格的设备绑定和异常登录检测。但这也意味着用户体验的牺牲——更频繁的验证步骤，更严格的设备管理。

第二是SaaS内部的可见性。大多数企业对云端应用的使用情况是模糊的：谁在访问什么数据、做了什么操作、从哪个设备登录——这些基础问题，很多安全团队答不上来。

第三是邮件规则的监控。攻击者利用收件箱规则隐藏痕迹，这个技术并不新鲜，但检测起来却很困难。需要区分"用户自己设置的规则"和"被攻击者设置的规则"，在规模化环境中是个难题。

Palo Alto Networks和RH-ISAC提到的零售、酒店业成为重点目标，也有其商业逻辑。这些行业的特点是：员工流动性高、IT支持需求频繁、对业务连续性极度敏感——正是语音钓鱼最容易得手的环境。而且勒索成功后，企业支付赎金的可能性也更高。

一个关于"信任"的冷笑话

回头来看，这两个黑客团伙的名字起得颇有讽刺意味：Cordial Spider（亲切的蜘蛛）、Snarky Spider（刻薄的蜘蛛）。一个假装热情帮你解决IT问题，一个可能在偷完数据后还留点嘲讽。

他们的成功，本质上是对"信任"的系统性利用——信任来电显示、信任SSO的便利、信任"内部"操作不会有害。而SaaS架构的设计初衷，正是为了消除摩擦、提升效率、让信任无缝流动。

所以最黑色幽默的部分可能是：我们花了十年把企业搬进云端，追求的就是"像消费互联网一样简单"；现在黑客也学会了这套逻辑，用同样的简单性，把我们的数据搬进了他们的口袋。而你的安全团队，可能还在等一封永远不会到达的告警邮件。