雖然多因素驗證(MFA)是非常有效的資安防護手段,然而根據最新資料,多因素驗證的安全性卻遭遇全新威脅,比方說駭客只需要撥打企業的 IT 支援專線,並說服員工重設相關認證,再將惡意裝置註冊到內部網路,即可輕鬆竊取各種機密資料。
事實上,過去 12 個月以來,金融機構所遭遇的資安攻擊事件,大多都不是傳統的網路釣魚(即透過偽造的網頁、信件竊取企業員工的帳號密碼);根據資安企業 CrowdStrike 日前發表的《2026 年金融服務威脅情勢報告》,在 2025 年 4 月至 2026 年 3 月期間,一項被稱為「Mutant Spider」的威脅在全球金融服務業領域最為活躍。
金融業資安攻擊的結構性轉變
Mutant Spider 的主要攻擊手法,是透過 Microsoft Teams 進行語音釣魚;攻擊者會假冒成企業內部的 IT 人員,說服員工重設帳號憑證及多因素驗證設定,隨後將自己的裝置註冊到企業網路之中。
CrowdStrike 指出,前述攻擊手法的最大問題在於,它完全按照企業原先設計的安全機制運作,本質上合理且沒有破綻,但卻遭到了駭客利用。
換句話說,多因素驗證雖能保護基於密碼的認證機制,但當前主導金融服務業的攻擊手法,卻正在透過重設密碼、授予驗證碼及漏洞利用等方式,繞過傳統的密碼竊取,構成全新的威脅體系。
根據 CrowdStrike 的報告,截至 2026 年第一季,金融服務業於駭客攻擊最常鎖定的領域上排名第四,佔資安攻擊活動總量的 12%。同時,於 2025 年,全球金融機構面臨的「手動攻擊入侵」事件,較兩年前增加了 43%。
此外,金融服務業所涉及的網路犯罪,其成長速度超出多數資安人員預期。
專門於洩密網站活躍的大型勒索軟體攻擊組織,過去一年間主動曝光了 423 家金融服務機構遭受攻擊,較前一年同期公佈的 334 家增加了 27%;其中以勒索軟體即服務「Qilin」聞名的犯罪組織 REVENANT SPIDER,主動承認攻擊的金融單位,也在一年內從 14 間激增至 97 間。
面對過去 12 個月以來,金融服務業資安入侵攻擊事件所發生的結構性轉變,CrowdStrike 高階主管 Adam Meyers 用一句話精準表達:既然只需要打電話給 IT 說一句「我忘記密碼了」就能入侵,那麼還需要駭客利用零日漏洞嗎?
CrowdStrike 認為,Mutant Spider 會將取得系統的操作權限,進一步轉售給勒索軟體營運者,Teams 語音釣魚只是整個攻擊流程的第一步,勒索通知隨後就會跟上,使企業蒙受損失。
確實存在的資安威脅
跟 Mutant Spider 手法類似的犯罪組織還有 Scattered Spider;該組織於 2025 年 4 月到 7 月期間,針對金融保險企業發動積極的勒索軟體攻擊行動。
Scattered Spider 組織沿用自 2022 年以來一貫的作案模式,即透過企業內部的 IT 技術支援部門,先進行社會工程攻擊,要求重設憑證及多因素驗證,隨後利用整合的 SaaS 應用程式在企業內部網路進行橫向移動,定位出可供勒索的資料。
2025 年 9 月,英國政府逮捕並起訴了 Scattered Spider 組織的其中兩名成員,指控他們涉嫌針對倫敦交通局發動攻擊;同時美國司法部則另行起訴其中一人,指控其涉及針對美國關鍵基礎設施的多起網路攻擊,這些執法行動在在證明了此類資安威脅確實存在。
國家級犯罪組織助長速度
CrowdStrike 報告中另一個引人關注的重點在於國家級犯罪組織的行動,強化並加速了金融服務領域的資安威脅。
報告指出,2025 年與北韓有關聯的攻擊者,竊取了高達 20.2 億美元的數位資產,較前一年增長了 51%。
同樣於 2025 年 2 月,一個被稱為 Pressure Chollima 的組織,發動了有史以來規模最大的單一竊盜行動,期透過木馬感染開發者電腦,入侵支援 Bybit 交易所的數位資產管理平台 Safe{Wallet},並竊取了 14.6 億美元的加密貨幣。
此外,CrowdStrike 也發現多個與中國相關的駭客團體,在全球發動針對金融機構的持續性攻擊。
CrowdStrike 所記錄的每項國家級攻擊行動,背後都存在一個共同點,即攻擊者的第一步總是鎖定某個身分、憑證或受信任的存取路徑。
CrowdStrike 技術長 Elia Zaitsev 直言,此類國家級攻擊的行動速度,早已超越了傳統防禦模式,過去的解決方案根本無法有效應對這種行為。
MFA 也無法保護的攻擊
多因素驗證遭遇的威脅,不只有 Mutant Spider 之類的民間犯罪組織與國家級駭客。根據美國聯邦調查局(FBI)近日發表的公告,其警告民眾需注意「釣魚即服務」平台 Kali365 的活躍。
Kali365 首先透過發送釣魚電子郵件,冒充 Adobe Acrobat Sign、DocuSign 和 SharePoint 等受信任的服務,然而電子郵件中卻包含著一組裝置 Token,並會指示收件者造訪微軟的正規驗證頁面。
當受害者照常進行驗證,雖然多因素機制將正常觸發,但其憑證卻會落入攻擊者手中,駭客即成功竊取 Microsoft 365 的 OAuth 憑證,進一步取得其他微軟服務,如 Outlook、Teams 和 OneDrive 的永久存取權,而且還不會觸發額外的多因素驗證提示。
當攻擊產業化,利用部署現狀落差
根據資安公司 Arctic Wolf 的分析,Kali365 攻擊工具由惡意份子於 Telegram 上販售,普通人若想租用並發動攻擊,月費最低只要 250 美元,甚至還有一年期 2000 美元的訂閱方案。
不僅如此,Arctic Wolf 指出 Kali365 支援 14 種語言,並包含 AI 生成的釣魚誘餌、自動化活動模板與即時追蹤儀表板,並擁有多層級的商業架構,分別面向普通開發者、組織經銷商與附屬攻擊者。
然而,就跟 Mutant Spider 的攻擊手法類似,微軟的裝置 Token 登入流程並非漏洞,而是一項正規功能,最初是為了無法進行互動式登入的裝置所設計。
只不過,微軟預設的 Entra ID 設定,並未限制該類登入流程的任意使用,而且多數企業也從未詳細審查,自身是否有任何工作流程,真正需要啟用功能。
因此,Kali365 之所以能成功入侵企業內部,正是利用了設計意圖與部署現狀之間的落差。
漏洞利用已是資料外洩主因
由美國電信業巨頭 Verizon 所公開的《2026 年資料外洩調查報告》亦證實,在資料外洩初始入侵途徑方面,單純的憑證竊取攻擊,其比例已經降至約 13%,而漏洞利用則以 31% 躍居首位。
同樣根據 Verizon 的報告,企業完全修補漏洞的中位數時間,從 32 天增加至 43 天,而組織僅修補了 CISA《已知遭利用漏洞目錄》中 26% 的關鍵漏洞,也較前一年 38% 的比例有所下降。
從 CrowdStrike、FBI 到 Verizon 的調查與分析,不難見出金融服務產業過去二十年來,雖然一直致力於建立資安防禦機制,力抗憑證竊取攻擊,但現在真正具備威脅的部分,卻是透過社會工程學手段繞過多因素驗證,或者利用合法的驗證流程竊取登入 Token,導致 MFA 失去應有的保護能力。
應對新型態攻擊的 5 個方向
既然如此,資安部門又該如何應對,金融服務產業資安攻擊手法的結構性轉變呢?從 CrowdStrike、FBI 到 Verizon 的報告中,大致可以統整出 5 個方向。
首先,面對 Teams 語音釣魚和 IT 部門的多因素驗證惡意重設,企業應該考慮將所有多因素驗證的重設機制,限制為「需要進行額外身分比對」,並支援 FIDO2 硬體金鑰,且要求員工透過獨立通道回撥電話。
其次,在 OAuth 裝置授權碼流程攻擊方面,企業應在 Entra ID 條件存取中,限制裝置授權碼登入流程,並主動封鎖未受管理的裝置。
再者,於 Token 持久性上,建議企業監控來自未知裝置的 OAuth授權碼使用情況,並且為登入 Token 指定有效期。
緊接著,當攻擊者開始透過 SaaS 應用程式橫向移動,試圖竊取內部登入憑證和文件時,企業應該要主動稽核 Graph API 的存取權限,並標記來自重置或裝置授權碼連線階段的批量操作。
最後在資安預算的分配上,企業應重新調整預算,以加強登入 Token 監控、會話驗證,還有員工要求重設時的身分驗證機制,應對 MFA 機制本身所具備的弱點。
MFA 與資安預算分配的再思考
跨國 IT 軟體公司 Ivanti 駐地資安長 Mike Riemer 特別強調,攻擊者與攻擊手法的高速發展,加劇了企業資安預算的配置失衡,例如不法份子開始會對漏洞修復手段進行逆向工程,而 AI 更大幅提升了他們的工作速度。
Mike Riemer 說,假設駭客可以在 72 小時內,即完成對漏洞修補程式的逆向工程,那麼當企業無法於修補程式發布後的 72 小時內,立刻進行套用,那麼他們就會直接面臨遭受攻擊的風險。
總歸來說,當前金融服務業最具威脅性的攻擊者,並非是想用傳統方式,偷走員工密碼的人,而是那些透過正規流程,致電給 IT 的有心份子,因為他們有能力借助合法的驗證流程,竊取有效期限長達數個月的登入憑證。
過去十年間,企業資安預算中佔比最大的防禦措施,如今卻指向一個跌至第三順位的威脅,然而其解決之道,卻並非是增加另一層多因素驗證(MFA)即可搞定。
企業現在應該重新思考,究竟多因素驗證能夠保護什麼,該技術又無法保護什麼,以及資安預算接下來的分配與有效運用。
【推薦閱讀】
◆ AI 加速零日漏洞武器化:攻防時間恐從 1 天縮短到 1 分鐘,資安危機從「找不到」變「漏洞修不完」
◆ 國家級網攻進入「資料可信度戰」:Fast16 不癱瘓系統,卻竄改核武模擬結果、誤導工程判斷
◆ Anthropic Mythos 太會找漏洞:Firefox 修補數暴增 13 倍,工程師坦言還沒有自動化解方
*本文開放合作夥伴轉載,參考資料:VentureBeat、CrowdStrike,首圖來源:Nano Banana 2
(責任編輯:鄒家彥)
