資安業者 eSentire 於 2026 年 1 月 15 日發布的《2025 年度回顧與 2026 年威脅展望報告》顯示,
帳號入侵攻擊在 2025 年較前一年暴增 389%,占該公司觀察到所有攻擊事件的 55%。
根據 eSentire 威脅應變小組( TRU)觀察,
憑證竊取在 2025 年占所有惡意活動的 75%。其中三分之二用於帳號接管,另外三分之一用於發動釣魚攻擊。而 Microsoft 365 帳號是主要攻擊目標。
惡意軟體仍是重要威脅,占所有威脅的 25%,但較 2024 年下降了 4 個百分點。
釣魚即服務助長商業電郵入侵攻擊
在 eSentire 服務的 2000 多家客戶中,使用有效憑證發動電郵惡意攻擊成為首要入侵途徑,占比從 2024 年的 37% 躍升至 2025 年的 55%。
這些
攻擊多數源自釣魚即服務(PHaaS)工具包,占所有帳號入侵事件的 63%。報告指出,攻擊者利用 Tycoon2FA、FlowerStorm 和 EvilProxy 等 PHaaS 服務執行商業電郵入侵(Business Email Compromise,BEC)攻擊。
TRU 資深經理暨報告主要調查員 Spence Hutchinson 強調這些 PHaaS 工具的複雜程度。他指出,這些工具包並非簡單的範本,而是功能完整且持續更新的服務,專門設計來繞過多因素驗證(MFA)等現代資安控制機制。正是這些 PHaaS 工具的廣泛可得性與持續演進,助長了當前影響企業的帳號接管問題。
儘管 BEC 攻擊在 2025 年占比不到 10%,較 2024 年下降 21 個百分點,但 TRU 研究人員指出,它仍是企業面臨的主要威脅之一。
報告指出,攻擊者的行動速度驚人。
駭客在取得目標企業的登入憑證和工作階段權杖後,最快可在 14 分鐘內展開 BEC 攻擊,例如建立收件匣轉寄規則。房地產、金融、零售和營造業是最常受到 BEC 攻擊的產業。
eSentire 報告的其他重要發現包括:
- 結合電郵轟炸(Email Bombing)與 IT 技術支援冒充攻擊的資安事件增加 14 倍,法律產業成為主要目標
- ClickFix 誘餌攻擊激增 300%,占所有惡意軟體傳遞案例超過 30%
- 軟體產業在 2025 年經歷最多資安事件,較 2024 年增加 15%;製造業年增 32% 居次;商業服務業較去年增加 8%
- 營造業、旅宿業和法律產業的網路攻擊事件在 2025 年呈下降趨勢
本文轉載自 InfosecurityMagazine。