验证环节正成为 2026 年账号接管(ATO)的新战场

验证环节正成为 2026 年账号接管(ATO)的新战场

导语:随着 Passkey 与无密码认证走向主流,传统撞库式账号接管攻击的前端大门正在关闭,攻击者开始向下游的身份验证与恢复环节转移。Veriff 2026 年报告数据显示,4.18% 的验证尝试为欺诈行为,数字呈现媒体被 AI 生成或篡改的可能性比以往高出 300%,冒名顶替已占其观察到的全部欺诈攻击的 85% 以上。本文梳理了 ATO 攻击战场迁移的趋势,以及组织在未来 12 至 18 个月内需要重点部署的防御方向。

多年来,账号接管(ATO)攻击遵循着一套可预见的剧本:攻击者批量购买被盗凭证,通过自动化工具进行撞库,并等待命中结果。撞库成本低、易于规模化,对防御方而言也相对容易理解。这一时代正在走向终结。

并非因为攻击者放弃,而是因为前端登录终于变得更难攻破。Passkey(通行密钥)如今已成为主流。根据 FIDO Alliance 2026 年的研究,75% 的全球消费者已在至少一个账户上启用了 Passkey。与此同时,Passkey 在企业内部的应用也日益普遍,68% 的企业正在使用、测试或引入 Passkey 用于员工登录。

防钓鱼、无密码的认证方式已不再只是愿景,而正在成为默认选项。当密码消失时,被盗密码的价值也随之消失。那么,攻击将转向何处?它将向下游迁移,转移到系统仍然依赖人类来证明身份的环节。

当主登录流程得到加固后,欺诈并不会消失,而是迁移到架构中仍存在的最薄弱环节——在大多数架构中,这个环节就是身份验证与恢复层。可以思考一下围绕身份认证的各类流程:账号恢复、设备重新注册、高价值交易的分步验证(step-up verification)、用于“确认是您本人”而发送的魔术链接(magic link)。这些正日益成为阻力最小的攻击路径。

原文配图

魔术链接拦截便是一个典型例子。通过邮件发送一次性登录链接虽然便捷,但也有其代价:一旦攻击者能够拦截该链接——无论是借助未经验证的移动端深度链接、被入侵的收件箱,还是通过 SIM 卡交换劫持进行重定向——他们便可完全绕过既定的身份认证流程。多项数据也指向同一方向。Veriff《2026 年欺诈行业脉搏调查》(基于约 1,200 名欺诈与合规决策者的反馈)发现,各类组织正面临在线欺诈的普遍上升,冒名顶替欺诈、恶意软件、授权欺诈(authorized fraud)及证件欺诈是最常被报告的几大类别。

重塑 ATO 格局的第二股力量是生成式 AI,它使身份验证本身成为攻击目标。Veriff《2026 年身份欺诈报告》指出,4.18% 的验证尝试属于欺诈行为,且数字呈现媒体被 AI 生成或篡改的可能性比以往高出 300%。在该公司观察到全部欺诈攻击中,冒名顶替占比已超过 85%。深度伪造的自拍照、被注入的视频流以及合成证件已不再是边缘技术,而是身份欺诈的主流手段。对防御者而言,结论虽然令人不安但却十分明确:如果您的验证环节仍假设其面前的媒体是真实的,那么您所防御的只是去年的威胁模型。

账号接管防御正在进入新阶段。在未来 12 至 18 个月内,三大转变或将塑造组织加固其控制措施的路径。首先,证明某人是谁已不再足够,组织还需要对“该人正在授权什么”提供更强保障,这推动了“意图绑定”(intent binding)技术的发展,即通过密码学手段将经过验证的人工操作与正在批准的具体交易或指令进行绑定。随着 AI 驱动的注入攻击日趋复杂,该方法正逐步成为高价值、高风险交易的现实必需。其次,单点检查越来越容易被规避,更具韧性的优势来自于跨数百万会话、设备和网络识别欺诈模式,并在协同攻击扩散前将其检出。当信号能够围绕人员、证件、设备和网络进行关联分析,而非孤立判断时,防御能力将随规模而增强。第三,合规与安全日益交织。eIDAS 2.0、《反洗钱条例》(Anti-Money Laundering Regulation)以及 DORA 等框架正推动组织迈向更强且更标准化的身份保障。与此同时,短信 OTP 的逐步淘汰也加速了向可被拦截认证因素的告别。对许多组织而言,这意味着最低可接受标准正迅速超越其现有控制水平。

切实可行的前进路径并不悬虚,而是建立在已经显著降低 ATO 的控制手段之上:例如,生物识别活体检测在正确实施时已被证明可将 ATO 降低 80%–90%。战略转变说起来很简单,却难以忽视:欺诈总会沿阻力最小的路径流动,一旦身份认证成为阻力最小的环节,下一个战场就转移到验证环节。能够在 2026 年胜出的团队,是那些已经在守护链条中下一道环节的团队,而非那些仍在为攻击者已经放弃的环节防守的团队。


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/the-verification-step-is-new-ato.html

作者:info@thehackernews.com (The Hacker News)