金融服务业新威胁：重置MFA窃取令牌，密码不再是攻击目标

过去12个月里，针对金融服务业的最主要攻击者从未通过钓鱼窃取密码。他们通过拨打IT支持热线，说服员工重置多因素认证（MFA），并用自己的设备在网络上完成注册，从而实现入侵。

本月发布的《CrowdStrike 2026年金融服务威胁态势报告》（涵盖2025年4月至2026年3月活动）将“突变蜘蛛”（Mutant Spider）确定为金融服务业最活跃的单个威胁。该组织的核心手段是利用微软Teams进行语音钓鱼：操作者冒充内部IT支持人员，说服员工重置凭证和多因素认证，随后将自身设备注册到企业网络。而安全控制措施恰恰按设计正常运作——这恰恰是问题所在。

几天后，FBI发布公开警告，提醒注意“Kali365”——一个在Telegram上以每月250美元起售的钓鱼即服务平台。Kali365通过合法的设备代码认证流程捕获微软365的OAuth令牌。多因素认证在受害者设备上触发，而非攻击者设备，令牌可持久访问Outlook、Teams和OneDrive，无需再次触发MFA提示。

同样在5月发布的《Verizon 2026年数据泄露调查报告》也确认，凭证窃取占比降至13%，成为初始访问向量的次要类别，而漏洞利用以31%的占比升至首位，取代了长期以来的领先地位。三个独立来源得出相同结论：多因素认证保护密码验证，但主导金融服务业的攻击正越来越多地通过重置、令牌授予和漏洞利用绕过密码窃取。文末的“MFA绕过风险审计矩阵”汇总了CrowdStrike、FBI和Verizon报告中的五个已确认攻击面，以及MFA在每个攻击面上的遗漏点与具体修复方案。

CrowdStrike数据揭示行业持续承压

根据CrowdStrike报告，2026年第一季度，金融服务业成为第四大受攻击行业，占所有观测到的对手活动的12%。全球范围内，金融机构在2025年遭受的“手动键盘入侵”比两年前增加43%，北美地区增幅达48%。

网络犯罪的扩张速度超出多数防御者预期。大型狩猎操作者在报告期内将423家金融实体列入专属泄露站点，较前12个月的334家增长27%。运营“麒麟”勒索软件即服务（RaaS）的REVENANT SPIDER，在其专属泄露站点上公布的金融服务业受害者数量从14家激增至97家。

“谁需要零日漏洞，只要给帮助台打个电话说‘我忘了密码’不就行了？”CrowdStrike反对手操作高级副总裁Adam Meyers对VentureBeat说道。这句话精准概括了他团队在12个月金融入侵中记录到的结构性转变。

交互式入侵分析揭示了谁真正进入这些网络：网络犯罪分子主导了75%针对金融服务业的“手动键盘入侵”，国家支持型对手占剩余25%，这一比例自2023年起未变。变化的是总数量与访问技术的复杂度。

“突变蜘蛛”通过微软Teams进行的语音钓鱼活动，代表了初始访问的结构性转变。该组织冒充IT支持，诱使员工重置MFA，随后部署自定义后访问工具，包括PrionFlaire、SocksLoader和SleepyMutagen。CrowdStrike认为该组织将访问权限出售给勒索软件操作者。“Teams通话”是第一步，“勒索通知”是第五步。

“谁需要零日漏洞，只要给帮助台打个电话说‘我忘了密码’不就行了？”

“散点蜘蛛”（Scattered Spider）在2025年4月至7月间恢复对保险公司的激进勒索软件行动，此前其运营曾于2024年12月暂停。该组织沿用自2022年以来的剧本：帮助台社会工程学、凭证与MFA重置请求、通过集成SaaS应用横向移动以定位勒索数据。2025年9月，英国国家犯罪局逮捕并起诉两名成员，指控其针对伦敦交通局；美国司法部则单独起诉其中一人，关联多项针对美国关键基础设施的网络攻击。

国家支持组织提升规模与速度

报告中的国家支持型组织发现，从另一角度强化了身份问题。与朝鲜相关的对手2025年窃取20.2亿美元数字资产，较前一年增长51%。2025年2月，“压力青瓦台”（Pressure Chollima）执行了有记录以来最大单笔盗窃，通过感染开发者的机器（通过被篡改的Python项目）攻陷了支持Bybit交易所的数字资产管理平台Safe{Wallet}，窃取14.6亿美元加密货币。与中国相关的组织在全球多洲对金融机构开展持续活动：“空心熊猫”（Hollow Panda）利用Check Point VPN设备攻击菲律宾、印度尼西亚和巴西的银行；“金库熊猫”（Vault Panda）通过被攻陷的VPN和防火墙设备在四大洲获取初始访问权限。CrowdStrike记录的每个国家支持型活动都有一个共同点：对手的第一步目标指向身份、凭证或受信任的访问路径。

CrowdStrike首席技术官Elia Zaitsev在4月对VentureBeat表示，这些操作的节奏已超越传统防御模型。“传统方法根本不适用于这类行为。”

Kali365将令牌窃取变为订阅服务

FBI 5月21日的公开警告证实了第二个使问题复杂化的攻击路径。该平台利用微软OAuth 2.0设备授权授权流程——该流程专为无法支持交互式登录的设备（如智能电视、会议室系统）设计。Kali365发送伪装成Adobe Acrobat Sign、DocuSign、SharePoint等可信服务的钓鱼邮件，邮件包含设备代码及访问微软验证页面的指示。受害者正常认证，MFA触发，令牌落入攻击者手中。

4月发布技术深度分析的Arctic Wolf，记录了该平台的三级商业结构：开发者管理级、代理级（分销商）和客户级（付费联盟）。订阅价格从30天250美元到一年2000美元不等，支持14种语言，包含AI生成钓鱼诱饵、自动化活动模板和实时追踪仪表板。

设备代码流程并非漏洞，而是功能——微软为无法交互登录的设备设计。问题在于默认配置可能被滥用，而防御者往往未充分意识到其风险。这种攻击绕过了传统MFA，因为令牌在受害者设备上生成，攻击者无需直接接触密码或MFA验证。

关注微信号：智享开源 ，及时了解更新信息。

原文链接：https://venturebeat.com/security/attack-dominating-financial-services-resets-mfa-steals-token