針對企業的帳號接管攻擊正在增加。根據 Abnormal Security 的研究,83% 的受訪組織在過去一年中曾受到至少一次帳號接管攻擊的影響,26% 的組織報告每週都面臨帳號接管企圖。而在 Proton 的 SMB 網路安全報告 中,我們發現儘管採取了網路安全措施,每 4 家小型企業中就有 1 家曾被駭客入侵。
財務影響也可能非常嚴重。IBM 的研究報告指出,涉及供應商入侵和帳號接管的 資料外洩 平均損失接近 500 萬美元,且圍堵時間往往超過 250 天。
這種頻率與影響的結合,解釋了為何帳號接管對企業如此危險:攻擊者只需使用合法的憑證登入,即可從組織內部開始運作,而這通常是在任何人意識到該帳號不再值得信任之前發生的。
在英國,政府的 2025 年網路安全漏洞調查 報告也顯示,接管企圖和受入侵帳號已成為更廣泛事件圖景的一部分。對於企業而言,這使得帳號接管不僅僅是一個登入問題,更是一個身分安全、詐騙和業務連續性的風險。
Proton Pass for Business 如何降低帳號接管風險
什麼是帳號接管攻擊?
網路犯罪分子發動帳號接管攻擊的方式是透過獲得合法帳號的未經授權存取權,然後將其用於惡意目的。在企業環境中,這通常意味著獲取員工的密碼、攔截其驗證流程,或以其他方式獲得工作帳號的有效存取權。
一旦進入內部,攻擊者就可以讀取內部通訊、更改帳號設定、進入連線的應用程式、匯出機密檔案,或在與同事、供應商或客戶的對話中冒充該員工。由於攻擊者是獲得了有效存取權,而非透過明顯破損的系統強行進入,因此其活動看起來就像正常的業務運作。
這正是企業帳號入侵如此危險的原因。攻擊者可能看起來像普通使用者,直到損害已經造成為止。
帳號接管與傳統攻擊有何不同
帳號接管之所以具有破壞性,是因為它不像許多團隊預期的那種明顯攻擊或資料外洩那樣容易被發現。
企業安全團隊通常會尋找惡意軟體(新視窗)、被利用的弱點、受損的系統或可疑的代碼執行。在帳號遭接管的事件中,系統可能並未遭到一般意義上的資料外洩,因為攻擊者使用的是合法的憑證和正常的登入流程。
這種區別非常重要,因為團隊需要尋找憑證濫用而非邊界入侵。當攻擊者與其他人一樣,在同一個登入頁面使用有效的憑證進行登入時,該活動單獨來看並不會顯得可疑。
因此,偵測不應過於依賴發現技術問題,而應更多地關注異常行為,例如奇怪的登入模式、非預期的密碼重設或異常的存取要求。
換句話說,帳號接管通常是透過濫用組織正常的信任模型來實現的。
最常見的帳號接管方法
攻擊者可以使用幾種成熟的方法來取得企業帳號的存取權限。有些是隨機尋找機會,而有些則是高度針對性的。
憑證填充
憑證填充發生在攻擊者取得在資料外洩中洩露的使用者名稱和密碼,並在其他服務中進行測試。這之所以奏效,是因為人們經常在個人帳號和工作帳號中使用重複的密碼。
這使得專屬密碼成為組織應對帳號接管的最佳防禦措施之一。Proton 的資料外洩觀測站顯示,姓名和電子郵件地址出現在將近九成的資料外洩事件中,而密碼則在 47% 的事件中暴露。當這些憑證在不同服務間重複使用時,一次資料外洩就會迅速產生帳號接管風險。
網路釣魚
網路釣魚仍然是入侵企業帳號最常見的路徑之一。它可以用來竊取密碼、工作階段權杖或 MFA 核准,所有這些都可以直接導致帳號被接管。
SIM 卡交換攻擊
SIM 卡交換發生在攻擊者說服行動電信商,將受害者的號碼轉移到他們控制的 SIM 卡上。如果企業仍然嚴重依賴基於簡訊的驗證,那麼攻擊者就可以輕鬆攔截登入代碼。
為了防禦 SIM 卡交換,雙重驗證 (2FA) 方法對於高風險的企業帳號而言更為安全且合適。
2FA 疲勞與工作階段竊取
即使啟用了雙重驗證,攻擊者仍可能嘗試透過重複的核准提示讓使用者感到厭煩,或透過網路釣魚和惡意軟體竊取工作階段權杖。雙重驗證至關重要,但僅靠它本身是不夠的。
密碼噴灑
密碼噴灑是一種暴力破解攻擊(新視窗),攻擊者會嘗試在許多帳號中使用一組常用密碼。他們不對單一使用者進行數百次猜測,而是針對廣大員工測試如「Welcome123!」等弱預設值或可預測的公司相關模式。
為何企業帳號是高價值目標
企業帳號極具吸引力,因為它們可能持有大量資料與資金。遭到入侵的電子郵件帳號可能會引發商務電子郵件入侵:例如,企業付款詐騙即是犯罪分子為組織量身打造電子郵件,冒充合法聯絡人,並試圖重新導向付款或取得敏感資訊。
遭到入侵的管理員帳號可能更具破壞性。它可能允許攻擊者重設密碼、存取其他系統、匯出資料或削弱安全控制。一旦發生這種情況,單一的身分入侵就可能導致更大規模的事件。
即使是一般員工帳號也可能連線至:
- 電子郵件和行事曆。
- CRM 和客戶支援服務工具。
- 人力資源和薪資系統。
- 雲端儲存空間。
- 內部對話與協作平台。
- 共享憑證與密碼保管庫。
- 開發人員或基礎設施工具。
企業帳號劫持不僅僅是詐騙。這是一個存取控制問題,可能會對整個組織造成後果。
企業應注意的偵測訊號
由於帳號接管通常始於有效的憑證,因此偵測取決於發現異常行為。
- 異常登入時間或位置: 來自陌生國家、地區或時間模式的登入可能很可疑,尤其是隨後出現組態變更時。
- 非預期的密碼重設請求: 員工收到並未請求的重設電子郵件,可能是接管企圖的早期跡象。
- 陌生的裝置或瀏覽器: 來自從未見過的裝置登入值得檢查,尤其是伴隨著異常的應用程式存取或共享行為時。
- 非帳號所有者發起的雙重驗證提示: 非預期的雙重驗證核准可能預示著某人已擁有帳號密碼,並正試圖突破第二層防護。
- 電子郵件信箱或轉寄規則變更: 入侵電子郵件帳號的攻擊者通常會建立規則來隱藏訊息、轉寄郵件或維持存取權限。
- 敏感工具中的異常活動: 使用者突然以不符合其正常職責的方式存取財務系統、管理員儀表板、進行匯出或存取共享祕密,可能表示已遭到入侵。
- 保管庫或共享憑證中的可疑變更: 如果密碼被修改、重新共享或以異常方式存取,這可能是帳號遭誤用而非正常協作的跡象。
帳號接管對企業的影響
帳號接管詐騙之所以如此嚴重,是因為一個遭到入侵的身分可能會突然造成多種損害。首先是立即的詐騙風險。攻擊者可能會冒充高階主管、員工或供應商,請求變更付款方式或獲取機密資訊。
此外還有資料風險。遭到入侵的帳號可能會洩露合約、客戶資料、內部檔案或敏感通訊。
接著是營運風險。團隊可能必須鎖定帳號、輪換憑證、撤銷存取權限、檢查日誌、驗證通訊並檢查橫向移動。
如果攻擊者接觸到特權系統,事件的影響範圍可能會遠超單一遭到入侵的帳號。他們可能能夠部署 勒索軟體、維持對關鍵系統的存取,或在整個環境中啟用更廣泛的入侵。
到那個階段,問題已不再只是確保使用者身分的安全。它會擾亂營運、延誤復原,並影響組織正常運作的能力,這就是為什麼在業務連續性方案中必須考慮到帳號接管的原因。
針對疑似帳號接管的實用應對方案
即使已建立強大的預防控制措施,企業在懷疑發生帳號接管時仍需做好快速應對的準備。快速且結構化的應對措施有助於在事件擴散到其他系統或工作流之前控制局面。
- 第一步是透過 暫時停用受影響的帳號 、撤銷作用中的工作階段並重設憑證來控制風險。接著,團隊應檢查最近的登入活動以及任何與該帳號相關的可疑變更。如果該帳號具有更廣泛的權限或敏感工具的存取權限,應對速度應更快。
- 從那裡開始,焦點應轉向範圍。企業需要瞭解攻擊者在帳號內可能存取、變更或使用了什麼,包括電子郵件規則、連線的應用程式、共享憑證以及橫向移動的跡象。
- 控制任何相關的暴露也同樣重要。遭到入侵的身分可能會影響財務流程、供應商通訊、內部工具或客戶資料,因此應對措施不應僅停留在帳號本身。
- 一旦立即風險得到控制,應利用此事件來強化失效的環節,無論是改善憑證衛生、收緊雙重驗證執行,還是透過活動日誌和身分監控工作流來改善偵測。這些工具能幫助發現可疑的登入模式,例如異常位置、重複的失敗嘗試、異常時間的存取或非預期的帳號變更,以便資安團隊能更早進行調查。
圍繞帳號存取建立更強大的安全文化
當存取被視為便利性問題而非安全紀律時,帳號接管便會猖獗。
更強大的安全文化意味著員工了解憑證不僅僅是個人登入資訊。它們是進入業務系統、客戶信任和營運連續性的存取密鑰。這也意味著組織應提供團隊適當的工具、清除的政策和集中支援,讓安全的路徑成為容易的路徑。
這正是 企業級密碼管理程式、通行密鑰、暗網監控、更強大的雙重驗證實踐以及安全離職流程共同發揮作用之處。這些控制措施有助於減少憑證重複使用、改善帳號整潔度,並限制單一帳號遭受入侵時所造成的損害。
偵測屬於更廣泛的監控層級,但密碼管理程式仍可透過產生用於調查和警示系統的日誌與報告來提供支援。這些控制措施共同作用,使帳號接管更難執行且更容易被圍堵。
Proton Pass for Business 如何降低帳號接管風險
許多帳號接管事件始於外洩、薄弱或重複使用的憑證,隨後因員工缺乏一致的方式來產生強密碼、安全地儲存密碼、可靠地使用雙重驗證或發現早期的外洩跡象而惡化。Proton Pass for Business 透過讓團隊更容易套用更強大的帳號實踐,而不僅僅是建議,來降低該風險。
規模化的強大密碼管理
安全的密碼管理程式支援強密碼產生、自動填入、安全儲存空間和安全共享,這有助於團隊遠離重複使用密碼、瀏覽器混亂以及非正式的憑證處理方式。
這對於預防帳號接管至關重要,因為攻擊者通常依賴重複使用密碼和可預測的登入習慣,將一個外洩憑證轉化為對多個服務的存取權。Proton Pass 也支援通行密鑰,可減少對支援服務的密碼依賴,並提供具備抗網路釣魚能力的登入保護。它還提供內建的雙重驗證驗證程式和自動填入 TOTP 代碼,使更強大的登入習慣更容易持續使用。
更清楚掌握外洩和具風險的憑證
Proton Pass 包含 Pass Monitor,提供密碼堅固性分析、針對外洩電子郵件的暗網監控警示,以及對未啟用的雙重驗證的可視化。在實務上,這能幫助組織在憑證填充攻擊或後續接管嘗試濫用之前,識別出薄弱、重複使用或已經外洩的憑證。
商務密碼管理程式是預防帳號接管的理想選擇。它能幫助團隊成員安全地儲存和管理憑證,並協助團隊識別最可能產生下游風險的憑證。
日常工作更實用的雙重驗證
雙重驗證有助於降低被盜密碼本身的用途,但當感覺不便或支離破碎時,採用率往往會下降。Proton Pass 透過支援內建雙重驗證器和自動填入 OTP 代碼來提供協助,讓更強大的登入習慣更容易在支援的帳號中持續使用。這並非取代更廣泛的身分控制,但確實縮小了攻擊者常利用的實務缺口。
支援調查的管理員控制和安全訊號
Proton Pass 還透過報告、日誌和活動資訊,提供有用的管理員和安全可視性。這有助於組織審查與憑證相關的活動、支援內部調查,並在需要時將相關訊號納入更廣泛的安全工作流程。
Proton Sentinel 如何與 Proton Pass for Business 互補
Proton Sentinel 是一項進階帳號保護計畫,適用於合格的 Proton 方案,可為 Proton 帳號本身建立更強大的保護層,包括對可疑登入嘗試進行更嚴格的挑戰、更清晰地掌握登入和帳號變更,以及將可疑事件 24/7 全天候上呈至安全分析師。
這使其與保護 Proton 帳號的存取相關,並延伸至保護儲存在 Proton 服務中的敏感資料。但不應將其描述為能偵測公司整個 SaaS 堆疊中的可疑登入。
Proton Pass for Business 透過改善密碼管理、讓多因素驗證 (MFA) 更易於使用、更早發現外洩或薄弱憑證,並讓團隊能更好地控制整個組織的憑證管理方式,從而降低帳號接管風險。Proton Pass for Business 加強了攻擊者最常利用的憑證實踐,而 Proton Sentinel 則可為 Proton 帳號本身增加另一層保護。
準備好開始了嗎?使用 Proton Pass 保護您的商務帳號免於遭受接管 — 免費試用或 諮詢我們的銷售團隊。
