你的SaaS账户是怎么被"秒盗"的？|saas|勒索|银行卡余额|黑客

你有没有想过，一次普通的"IT部门来电"，可能让你在几分钟内失去整个公司的云端数据？

网络安全研究人员最近盯上了两个黑客团伙，他们的作案手法快得离谱——几乎完全在SaaS环境里操作，留下的痕迹少得可怜。一个叫Cordial Spider（外号BlackFile），另一个叫Snarky Spider。这俩团伙从2025年10月就开始活跃，作案风格高度相似，都是速战速决的数据盗窃+勒索。

最讽刺的是，他们根本不用什么高级漏洞。你的单点登录系统（SSO），那个让你"一键登录所有办公软件"的便利功能，反而成了他们最喜欢的后门。

电话那头不是IT，是骗子

整个攻击链条的起点，是一通电话。

CrowdStrike的研究人员描述得很直白：「在大多数情况下，这些对手使用语音钓鱼（vishing），引导目标用户访问恶意的、以单点登录为主题的中间人攻击页面，在那里捕获认证数据，然后直接进入与单点登录集成的SaaS应用程序。」

翻译一下：黑客冒充IT支持人员给你打电话，说"你的账户有异常，需要重新验证"。然后发你一个链接，页面长得跟公司登录页一模一样。你输入账号密码，甚至把多因素认证（MFA）的验证码也填了进去——但实际上，这些信息被实时转发给了黑客，同时你也被正常登录进系统。整个过程你毫无察觉。

这种"中间人攻击"（AiTM）的阴险之处在于，它完全绕过了MFA的保护。你以为的双重验证，变成了黑客的同步跳板。

CrowdStrike的报告点出了核心难题：「通过几乎完全在受信任的SaaS环境内操作，他们最小化了自己的痕迹，同时加速了产生影响的时间。速度、精准度和纯SaaS活动的结合，给防御者带来了重大的检测和可见性挑战。」

设备注册：一个被忽视的攻击面

拿到凭证只是第一步。真正让攻击者站稳脚跟的，是一个大多数人没注意过的功能：新设备注册。

这两个团伙的标准操作流程是：先移除受害者账户上已有的设备，然后注册一台新设备。这一步的关键在于绕过MFA——新设备一旦被信任，后续登录就不需要再次验证了。

但这里有个技术细节：SaaS平台通常会发邮件通知"您的账户在新设备上登录"。黑客怎么处理？

他们直接配置收件箱规则，自动删除这类通知邮件。等你发现不对劲的时候，数据可能已经被打包完毕了。

Google旗下的Mandiant在2026年1月的报告中提到，这两个团伙的攻击手法与ShinyHunters组织的勒索攻击"战术一致"——都是冒充IT人员打电话，骗取凭证和MFA验证码。

Palo Alto Networks的Unit 42和零售与酒店业信息共享与分析中心（RH-ISAC）上周的评估更进一步：他们"中等置信度"地认为CL-CRI-1116（即Cordial Spider）与The Com这个网络犯罪生态系统有关联。该团伙自2026年2月以来"积极针对零售和酒店业"，专门冒充IT帮助台人员实施语音钓鱼。

研究人员Lee Clark、Matt Brady和Cuong Dinh指出：「CL-CRI-1116的活动自2026年2月以来积极针对零售和酒店业，专门利用冒充IT帮助台人员的语音钓鱼攻击，结合钓鱼登录网站窃取凭证。」

"就地取材"的隐身术

这两个团伙另一个让人头疼的特点，是大量使用"就地取材"（Living-off-the-Land，LotL）技术。

简单说，他们不装恶意软件，只用系统自带的功能和合法工具。查询用户目录、导出数据、设置邮件规则——这些操作在日志里看起来都是正常的管理员行为。

为了隐藏真实位置，他们还使用住宅代理（residential proxies），让流量看起来来自普通家庭网络，绕过基于IP信誉的基础过滤。

攻击的后续阶段更具针对性：通过抓取内部员工目录，识别高权限账户，然后再次施展社会工程学手段。一旦拿到更高级别的访问权限，目标SaaS环境就彻底敞开了。

整个链条的设计思路很清晰：速度优先，痕迹最小化，完全在"可信"的环境内完成。传统的端点检测、网络监控工具，对这种纯云端的攻击链几乎束手无策。

为什么SaaS成了完美犯罪现场

这件事暴露了一个结构性问题。

企业上云之后，安全边界彻底改变了。以前的数据中心有防火墙、有网络分段、有物理隔离；现在的SaaS环境，边界就是每个员工的浏览器和一部手机。SSO本该简化安全管理，但当它被攻破时，也意味着"一次突破，全线失守"。

更麻烦的是检测盲区。攻击者全程使用合法功能，没有恶意软件签名，没有异常网络连接——你的安全运营中心（SOC）可能根本看不到告警。等发现数据被勒索时，攻击者早已完成数据外泄，只留下一封勒索信。

CrowdStrike强调的"时间加速"值得注意：这类攻击从初始访问到数据外泄，可能只需要几小时甚至更短。传统的应急响应流程，在SaaS环境下完全跟不上节奏。