一波快速蔓延的账号接管正在冲击 Gmail、Outlook、Microsoft Teams 和 Slack,安全公司发出的信息直截了当:如果攻击者掌控会话,多因素认证不再是防火墙。一轮由 AI 推动的钓鱼与授权同意攻击,以及一套名为 Astaroth 的新工具能够实时劫持令牌,正把风险直接转向支撑企业日常工作的工具。对 Microsoft、Alphabet 和 Salesforce 来说,声誉与合规风险正随着安全支出的增加而上升。
KnowBe4 的一份新报告称,96% 的组织难以保障人的因素安全,今年与人为行为相关的事件增长了 90%。电子邮件仍然是最大入口,57% 的事件与邮件有关,Outlook 和 Gmail 占据 90% 的攻击目标。但消息应用迅速赶上,攻击者转向伪装成受信任内部流量的渠道。定义过去十年钓鱼培训的红旗正在被 AI 抹去。KnowBe4 的 CEO Bryan Palma 直言不讳:AI 如今出现在双方。它让恶意行为者更快、更具针对性,同时也为防御者提供了新工具。眼下的问题是前者。
音频深度伪造和清晰、具上下文感知的提示词极大增强了老派的语音诈骗与社会工程。一个冒充 CFO 的逼真语音片段可以在几分钟内促成虚假的电汇请求。一旦攻击者获得哪怕一组凭证,现代协作套件就提供了一个在用户看来合法且往往也能蒙混过关于安全工具的内部分发网络。为异常人类行为调优的传统检测在自动化代理和被攻破的身份在做其被授权操作时往往失效。
最新升级是会话的实时截获。过去 24 小时内在野外被观察到的 Astaroth 钓鱼工具包在受害者登录时劫持令牌和会话 cookie,削弱了一次性验证码和推送审批的保护。这意味着攻击者可以沿用一个已认证的会话而无需“破解”MFA。这直接打击了 Gmail、Outlook 以及其他由 SSO 支持的应用上两步登录的安全感。
风险不止于此。OAuth 授权钓鱼正在快速蔓延到 Microsoft 365 和 Teams。在这些攻击中,用户被诱导授权恶意应用,赋予其对 Outlook、SharePoint 或 OneDrive 数据的持久访问。因为授权位于登录之后,即便强力 MFA 也无法免于错误授权。将其与会话劫持结合,攻击者既有钥匙又有泊车员。就 Google 而言,本周承认了代理型 AI 能生成令人信服内容与自主行动的挑战。关于“是谁点击了链接”的老问题正在让位于一个新问题:谁在监控这些代理?
KnowBe4 的数据指出一种转变。一旦进入真实账户,攻击者无需伪装任何东西。在 Teams 或 Slack 中,来自被攻陷同事的一条消息携带着 logo 和名字的信任。每个链接、每个文件都搭载着内部身份的可信度。这使得消息平台成为将 AI 编写的诱饵和附带恶意软件的文档高效投递的系统,轻易越过用户对未知电子邮件地址所保留的怀疑。
数十年来训练员工检查邮件头的经验并不能迁移到发送者看起来熟悉、上下文看似常规的协作工具中。一个快速的求助消息。更新后的发票。一份新政策。并且越来越多,这些诱饵并非来自人类冒名顶替者,而是来自被攻陷的自动化和具有合法角色的 AI 代理,被授权提交工单、审批费用或配置访问。正如 Palma 警告的那样,当代理拥有强大权限而传统工具错过非人类异常时,治理就会成为失效点。
Microsoft 正在增加摩擦。自 2025 年 9 月起,Teams 将推出实时链接警告,对包含与钓鱼、恶意软件或垃圾邮件相关的 URL 的消息进行标注。公司还在推动已发布的最佳实践:收紧外部联系人设置、避免未知附件、并报告可疑消息。有用,但单靠这些仍不足以应对。今天的攻击与明天的控制之间的空档依然敞开。
正因如此,行为平台正竞相覆盖多个渠道。厂商正在把检测从电子邮件扩展到 Teams、Slack 和 Zoom,寻找跨身份与设备的异常模式,而不是单一消息的启发式判断。这是正确的方向,但它假定企业已经完成了不讨喜的工作:强化身份、缩短令牌寿命、约束应用权限。随着 AI 使得生成逼真假域名和人格变得极其容易,特权模型成为真正的城堡。
对于 Microsoft、Google 和 Salesforce 来说,风险不在于技术缺陷,而在于其工作生态系统的完整性。协作平台是工作发生的场所,信任是它们的货币。一连串导致数据泄露或电汇诈骗的高调账号接管可能引发监管关注,并促使企业客户要求更严格的默认设置和更清晰的控制。预计产品路线图时间表将面临压力,以及这些平台在默认情况下多大程度上限制高风险功能。
与此同时,安全预算有了明确的催化剂。与身份和会话滥用相关的泄露与欺诈是为零信任访问、身份保护和集中化多渠道检测争取增量支出的最快理由。这有利于销售集成身份防护套件的公司,从端点到电子邮件再到协作平台。专注于行为分析和身份威胁检测的厂商可能受益,尽管它们必须证明能阻止授权欺诈和非人人流量。Okta 之前的失误表明身份厂商也未能免于信任侵蚀。Microsoft 不断增长的安全收入强调了平台原生控制将根据跨租户基础的采用速度与广度来被评判,而不是已公布的功能。
将 MFA 视为必要但不充分。尽可能迁移到抗钓鱼因素,如 FIDO2 密钥,强制实施带设备信任的条件访问,并缩短会话生命周期以降低令牌重放价值。禁用旧协议并阻止 Basic Auth。通过要求管理员批准第三方应用授权来锁定 OAuth,并剥离未使用的权限。在 Teams 和 Slack 中,对外部租户默认拒绝,并在可用时开启链接扫描。
持续监控会话并在授予敏感操作前验证设备姿态,而不仅仅是在登录时。对员工进行多渠道攻击培训,包括如何识别内部 Teams 或 Slack 钓鱼。更新财务操作手册,使语音通话(即便声音熟悉)也绝不能成为紧急付款的充分授权。将 AI 代理和自动化列为任何特权服务账户进行清单管理。如果机器人可以打开工单或审批费用,就需要强有力的治理、日志记录和撤销计划。
攻击者正在利用企业软件为合法用户带来的规模优势。AI 抹去了明显错误并加速了跨邮件与聊天的社会工程,而像 Astaroth 这样的工具使实时会话窃取成为常态。结果是人们对 MFA 的感知保护与实际保护之间的差距在扩大。Microsoft 即将推出的 Teams 链接警告会有所帮助,但威胁时钟已经在走。投资者应关注的不仅是头条式的泄露事件,还要看平台提供商多快收紧默认设置以及客户多大力度采用以身份为先的控制。行业下一场治理辩论不再是关于密码或链接,而是关于谁在监控这些代理。
