从感染到入侵：现代窃取程序攻击的24小时全流程

窃取程序已不再仅限于盗取密码。到2025年，其实时窃取的是用户会话——攻击者的行动速度与效率远超以往。

尽管多数人将账户劫持与个人服务挂钩，真正的威胁正在企业领域蔓延。Flare最新研究报告《账户与会话劫持产业链》分析了超2000万条窃取日志，并通过电报群组与暗网市场追踪攻击者活动。研究揭示了网络罪犯如何利用受感染的员工端点劫持企业会话——整个过程往往不超过24小时。

《账户与会话劫持产业链》报告核心发现包括：

各行业暴露率存在差异，社交媒体、云应用及娱乐平台平均月度遭窃会话量最高；账户暴露年增长率达28%，主要与信息窃取程序恶意软件的扩散相关；账户劫持和会话窃取的经济影响重大，具体包括：

• 安全调查人力成本（某大型流媒体平台年均约2620万美元）

• 账户劫持导致的欺诈损失（年均约750万美元）

• 用户流失风险，每年可造成数千万美元收入损失。

同时，报告强调亟需采取主动式账户劫持防御策略，着重指出自动化身份智能方案、会话重认证策略及早期暴露检测在降低会话劫持风险中的关键作用。

账户接管（ATO）攻击正如其名——当网络罪犯或威胁行为者未经授权获取网络应用账户的访问权限时即构成此类攻击。无论目标账户属于个人还是企业资产，攻击者均有多种方式利用或变现窃取的凭证。报告主要聚焦个人账户，剖析ATO如何影响全球使用最广泛的网络应用（其中多数为B2C而非B2B产品）。

攻击者历来通过多种手段实施账户接管，包括钓鱼攻击、社会工程、利用凭证泄露、暴力破解，甚至直接猜测弱密码（截至本报告发布时，“Winter2025”及其变体仍是常见密码之一）。多年来，账户安全性已显著提升：密码复杂度要求、登录尝试限制及多因素认证（MFA）已成为标准配置，连消费级应用亦不例外。

然而，会话劫持技术却基本不受这些安全措施影响。该方法利用旨在提升用户体验的会话Cookie或令牌反噬用户。尽管此技术广为人知，它仍在包括2023年Okta事件在内的重大泄露事件中扮演关键角色。连知名网络安全企业亦沦为受害者的事实，凸显了防御此攻击的艰巨性。

2024年，谷歌研究人员报告称：基于会话Cookie的攻击频率已与密码攻击持平。会话劫持日益猖獗的现象，可通过经典的犯罪分析框架「动机-手段-机会」简明阐释。该技术正处于三重因素的交叉点：

数据主要基于受感染设备统计。换言之，即信息窃取程序恶意软件成功运行并提取浏览器数据的设备。数据采集时间跨度约四年。为简化分析，建议采用单设备对应单账户的估算基准。尽管现实中存在以下情况：

但这两类子集可视为大致相互抵消。这种1:1估算模型虽不完美，仍为评估账户接管（ATO）和会话劫持暴露风险提供了合理基线。数据涵盖全球逾100个最常用网络应用程序，并按行业门类细分。

此外，更严格的会话Cookie策略与身份验证机制导致网络安全、银行及博彩类应用的暴露量相对较低。

网络应用的用户规模与其在Flare数据库中的暴露量呈现显著正相关性：社交媒体巨头因全球用户量达数亿级，暴露量普遍更高；而加密货币交易所与博彩网站因用户基数较小，暴露量相应较低。

必须考量本数据集的固有设备偏差——绝大多数泄露账户源自Windows笔记本电脑或台式机的浏览器环境，非移动设备（如智能手机、平板）。因此，移动端主导型应用在本数据集中存在代表不足现象。

本数据源自Flare自2021年起的持续监测成果。该增长率反映过去四年间暴露账户数量的年度复合增长态势。

金融科技（Fintech）的高增长率主要反映全球服务普及度提升与攻击者机会增长的双重效应；而博彩业处于增长率底层的现象值得深究——尽管北美市场呈现爆发式扩张，但该行业的多重认证策略与前述设备偏差或可解释这一矛盾现象。

精准量化会话劫持的经济影响颇具挑战。为帮助企业评估风险，报告发布方开发了行业级风险收益计算模型：通过将行业平均月度暴露账户数乘以单次账户接管（ATO）的近似成本，即可得出活跃会话风险的基准估值。需注意该模型未覆盖全部要素——须综合考量人力成本、欺诈损失及客户流失等因素，方能全面把握会话劫持风险。

人力成本属于显性却常被低估的支出。2023年亚马逊披露：其投入超12亿美元并动用1.5万名员工应对欺诈与滥用问题，折合年均2500万工时。但全球仅有少数企业具备此等资源规模。更普适的方案是按事件调查量化人力成本：

1、时薪基准：60−75（约430-540元人民币）

基于网络安全/欺诈风险专家13-15万美元总薪酬含附加福利。

2、单次有效调查耗时：30分钟至1小时

含告警研判、威胁情报与内部日志关联分析、跨部门沟通等前置流程。

实务中：简单事件调查或低至30分钟（30−40），复杂案件或达2小时（130−150）。单次ATO事件$70（约500元）是合理基准值。

将70乘以年度ATO事件量，即可确立人力成本基线。此计算同时揭示推行基于身份智能的主动化、规模化工作流所蕴藏的降本空间：例如自动标记泄露凭证与活跃会话并触发密码重置及会话重认证，可直接减少ATO调查量——每规避一例事件即节约70成本，并释放分析师精力转向高价值任务。

账户接管引发的欺诈损失因行业与应用类型差异巨大：

下方图表分行业呈现单账户欺诈损失估值（虽未穷尽所有场景，但清晰展现单账户沦陷后可能衍生的多重欺诈路径）：

该报告通过捕捉客户情绪与实际安全事件，揭示企业在风险沟通和账户接管（ATO）响应中的表现。基于此，报告发布方构建了虚构流媒体平台Vidz2Stream的经济影响模型（该平台拥有1.5亿全球用户，月费20美元/年费240美元）：

1、 Vidz2Stream平台ATO客户流失模型

2、客户流失率动态分析

3、客户流失总量

145,000用户（基于四类场景加权计算）

对应营收损失：3,480万美元（14.5万×240美元）

4、复合成本全景模拟

在Vidz2Stream案例中，账户盗用与会话暴露每年至少造成6850万美元的损失。

对此，报告发布方希望这些数据能帮助业界深入理解会话暴露现象的规模、影响及行业趋势。更重要的是，他们期望这些发现能够激励安全团队优化检测与响应策略——转向采用主动防护措施，在攻击者利用暴露会话之前，通过持续识别、监控和修复机制规避欺诈风险，解放人力成本，从而为终端用户带来更优的安全成效。

显然，这份报告揭示了现代网络犯罪的高效化与商业化趋势——会话劫持已成为账户接管（ATO）的“最小阻力路径”。攻击者利用信息窃取程序（Infostealer）在员工设备上窃取活跃会话令牌，24小时内即可完成从感染到入侵的全过程。这种攻击方式绕过了密码复杂度、多因素认证（MFA）等传统防线，其威胁已远超个人账户范畴，正大规模侵蚀企业安全边界。各行业面临的暴露率虽不相同（社交媒体、云应用首当其冲），但无一能置身事外，且年均28%的暴露增长率预示着风险将持续攀升。

因此，防御策略必须从“认证加固”转向“会话免疫”。传统的账户安全措施对会话劫持几乎失效，企业需构建以“身份智能”为核心的新一代防护体系：

同时，将安全成本转化为风险管控收益。报告揭示的巨额经济损失（如案例中流媒体平台年损6850万美元）警示我们，安全投入是保障企业营收的必要成本：

此外，还要关注行业特性，弥合移动安全短板：

会话劫持的肆虐标志着账户安全进入新纪元。企业不能再依赖“城堡与护城河”式的静态防御。生存之道在于构建以“持续监控、智能响应、主动免疫”为核心的身份安全体系。通过自动化身份智能平台实时洞察威胁，通过精细化的会话生命周期管理提升攻击成本，通过透明的风险沟通守护客户信任，并将安全投入精准导向风险量化最高的领域。唯有如此，企业才能在攻击者高效的“24小时闪电战”中立于不败之地，将报告揭示的巨额经济损失转化为可量化的安全投资回报。这场战役的关键，在于从被动响应转向主动免疫。