双因素认证阻止85%的X平台账户攻击:真实案例分析
安全研究人员监控到一个针对X平台账户凭证的活跃僵尸网络行动。在短短12分钟内,该系统测试了超过72万组登录组合——但由于启用了双因素认证(2FA),其中85.6%的账户仍保持安全。
攻击规模与运作机制
该僵尸网络使用的是“撞库攻击”技术,即利用从以往数据泄露事件中窃取的用户名和密码组合进行自动化登录尝试。总计尝试了480万次登录,成功入侵138个账户。其基础设施分布在安卡拉由土耳其服务商Komuta Savunma Yuksek Teknoloji Limited Sirketi运营的一个子网中的18台服务器上。指挥控制面板托管在Hetzner的一台服务器(144.76.57.92:5000)上,且未设置身份验证便公开暴露,使研究人员得以实时观察其操作。
控制面板的关键功能包括:
- 上传凭证数据库;
- 启动/停止扫描任务;
- 查看泄露统计数据;
- 导出已被攻破的账户;
- 通过SSH访问全部18台服务器的root密码。
此次攻击活动从2025年12月持续至2026年1月,并于2026年2月24日达到高峰。此外,主服务器还暴露了RDP、SMB和WinRM端口——这些是横向移动的常见入口点。
双因素认证的实际防护效果
最主要的防御屏障是什么?正是双因素认证。该僵尸网络只能成功入侵未启用2FA的账户,并会自动跳过受保护账户。这一结果也与更广泛的研究一致:正确实施的2FA可将撞库攻击风险降低高达99%。
本次攻击之所以能得手,原因在于:
- 泄露数据极为丰富(暗网市场上已有数十亿条凭证);
- 用户普遍存在重复使用密码的现象;
- 被攻击账户中有14.4%未启用2FA。
威胁背景与基础设施部署
随着数据泄露事件日益频繁,撞库攻击也在不断演进。根据Verizon《2025年数据泄露调查报告》(DBIR),80%的安全事件涉及被盗或弱密码。界面语言以及标为“Sunucu”(土耳其语“服务器”)的主机名等线索表明,攻击者可能来自土耳其地区——许多当地威胁组织偏爱Hetzner,因其注册政策匿名性强。
在VirusTotal、ThreatFox或AbuseIPDB中均未发现此前的相关威胁指标,这说明攻击者如今倾向于使用“干净”的基础设施以逃避检测。对行业而言,这意味着像X这样的平台正在加强自动化监控,但用户层面的防护责任依然至关重要。
核心结论
- 85.6%的攻击被2FA成功拦截,证实其作为基础防护措施的必要性;
- 在480万次尝试中,仅因缺乏多因素认证导致138个账户被攻破;
- 暴露的管理面板竟包含18台服务器的root密码,整个网络面临全面失控风险;
- 自2025年12月以来的持续活动凸显撞库攻击威胁不断上升;
- 强烈建议X平台用户立即启用2FA,以降低账户暴露风险。
影响与应对建议
此事件突显了未启用2FA账户的脆弱性——攻击者总是优先选择最容易得手的目标。全行业正加大对MFA(多因素认证)的投入。被攻破的账户常被用于发起钓鱼攻击,或在地下论坛转售。
专家建议采取以下措施:
- 尽可能启用2FA(推荐使用Google Authenticator类应用,短信作为备用方案);
- 使用Bitwarden或LastPass等工具管理唯一且高强度的密码;
- 通过Have I Been Pwned查询个人数据是否已遭泄露。
此类真实案例正加速2FA的普及进程:谷歌数据显示,截至2025年,全球2FA使用率已达70%。
— Editorial Team
暂无评论。