2026年世界密碼日:為什麼「強密碼」無法保護你免受人工智慧、資訊竊取者和Telegram地下組織的侵害

2026 May 11

2026年是世界密碼日,但「使用包含數字和符號的複雜密碼」這項傳統建議如今看來已完全過時。如今,即使是16個字元的密碼也毫無用處,因為資訊竊取惡意軟體可以直接從瀏覽器快取中提取密碼,或者員工會將其貼到未經管理的AI聊天機器人中。

歡迎來到真正的2026年世界密碼日。不是那種提醒你在「Password123」後面加感嘆號的日子。而是我們揭開 全球工業市場神秘面紗的日子 ,這個市場悄悄建立在我們集體密碼失敗的基礎上——如今,人工智慧正以前所未有的方式加速推動著這個機器運轉,從根本上改變著遊戲規則。

網路威脅情勢已迅速演變為由生成式人工智慧驅動的、產業化的 「網路犯罪即服務」(CaaS)經濟。駭客不再需要入侵系統,他們只需登入即可。

要了解現代身分盜竊生態系統,我們需要超越登入畫面,深入了解暗網、Telegram 和人工智慧之間的共生關係。

「強密碼」幻象的破滅:地下經濟

地下市場經歷了巨大的平台轉型。傳統的暗網論壇現在主要用於建立賣家信譽,而買家則被迅速引導至私密的Telegram頻道和自動機器人進行即時交易。這種轉變加速了被盜資料變現的速度。

那麼,到2026年,你的數位生活究竟值多少錢呢?根據Privacy Affairs和DeepStrike發布的2025/2026年暗網價格指數,該市場完全由供需關係決定:

  • 娛樂與社交: 洩漏資料的過剩導致價格下跌。一個被盜的Facebook帳戶售價約為45美元,而一個Gmail帳戶的平均價格為60至65美元。
  • 財務方面:帶有 CVV 碼的標準信用卡收費 10 至 40 美元,但經過驗證的網上銀行帳戶和高額加密貨幣帳戶的收費則高達 200 至 1170 美元以上。
  • 企業存取權限:利潤最豐厚的市場屬於初始存取代理程式 (IAB),它們提供直接存取特定企業網路(VPN 或 RDP)的權限。根據 一份初步存取代理報告,IAB 的平均基礎價格約為 2,700 美元,但高權限管理存取權限的價格已飆升至 113,000 美元以上。

這種地下經濟的規模令人震驚。訂閱像 LummaC2 或 RedLine 這樣的頂級資訊竊取惡意軟體,每月費用從 100 美元到大約 1024 美元不等,這使得新手網路犯罪分子比以往任何時候都更容易竊取數百萬個密碼。

密碼危機:憑證重複使用與人工智慧資料洩露

這些被盜資料庫的有效性完全依賴人類心理。儘管多年來警告不斷,用戶仍持續重複使用密碼。 94% 的密碼在兩個或多個帳戶中重複使用。 Verizon 發布的《2025 年資料外洩調查報告》顯示,只有 3% 的密碼符合 NIST 密碼最佳實踐的複雜性要求。一旦某個平台遭到入侵,自動化的撞庫攻擊就能立即解鎖數百個其他服務中的使用者檔案。

但2026年最大的人為威脅並非只是密碼重複使用,而是生成式人工智慧帶來的意外內部威脅。目前,全球正面臨員工無意中將公司機密直接輸入人工智慧工具的普遍現象。

  • GenAI盲點: 根據 LayerX發布的《2025年瀏覽器安全報告》,在瀏覽器中複製貼上已超越文件傳輸,成為企業資料外洩的首要途徑。高達45%的員工積極使用人工智慧工具,其中77%的用戶會將資料直接貼到人工智慧提示框中,這種做法並不安全。 Check Point Research的數據顯示,在2026年3月,企業環境中提交的GenAI提示框中,每28個就有一個存在敏感資料外洩的高風險,影響到91%經常使用GenAI工具的組織。此外,還有17%的提示框包含潛在的敏感資訊。
  • 影子 IT 風險:更糟的是,根據LayerX 的報告 ,82% 的複製貼上作業是透過不受管理的個人帳戶進行的,這造成了一個巨大的盲點。
  • 後果: 當這些人工智慧工具遭到入侵時會發生什麼事?威脅情報公司 Group-IB 報告稱,至少有 22.5 萬套OpenAI/ChatGPT 憑證在被資訊竊取者竊取後,在暗網上出售。當員工使用感染了資訊竊取程式的個人裝置登入帶有公司憑證的人工智慧工具時,資料循環將造成毀滅性後果。

網路釣魚2.0:人工智慧、深度偽造和身分冒用危機

隨著人工智慧降低網路釣魚的門檻,網路釣魚2.0時代已經到來。個性化的、人工智慧驅動的「網路釣魚即服務」工具包在Telegram上以每月不到100美元的價格出售。最常見且最有效的伎倆仍然是偽造IT/HR密碼重置請求或欺詐性VPN入口網站。人工智慧確保這些誘餌資訊編寫完美、無錯字且極具針對性。

由於人工智慧技術的先進性,根據Brightside AI 2024 年的一項研究,人工智慧產生的網路釣魚電子郵件的點擊率高達 54%(相較之下,傳統網路釣魚的點擊率約為 12%)。

但這種威脅已經超越了文字本身:

  • 深度偽造的成本: 借助深度偽造技術,基本的AI語音克隆訂閱服務每月只需幾美元。根據Onfido發布的《  2024年身分詐欺報告》,深度偽造案件增加了3000%。
  • 高階主管冒充: 高階社交工程攻擊正在造成嚴重破壞。網路犯罪者冒充IT主管或高階主管,誘騙員工竊取登入憑證的情況屢見不鮮。一次深度偽造視訊通話就讓工程公司奧雅納(Arup)損失了2560萬美元。該攻擊涉及一場複雜的多人視訊會議,會議中使用了深度偽造的AI生成的公司財務長(CFO)和其他高階主管的虛擬形象。此案例證明,複雜的多模式攻擊不再是紙上談兵——它們正在發生,並造成了災難性的後果。
  • 深度偽造語音詐騙:  只需3秒音訊即可創建語音克隆,這大大增加了財務團隊遭受身份冒用詐騙的風險。正如《財星》雜誌2025年12月報導的那樣,語音複製技術已經突破了「無法區分的門檻」——這意味著人類聽眾已無法可靠地區分克隆的聲音和真實聲音。

2026年國防戰略手冊

從密碼洩漏到勒索軟體全面入侵的時間線正在以驚人的速度縮短。根據 Beazley Security(2025年第三季報告),48%的勒索軟體攻擊使用被盜的VPN憑證作為初始存取途徑。然而,IBM 2025年資料外洩成本報告 指出,基於憑證的資料外洩事件平均需要長達246天才能被發現和控制。

與此形成鮮明對比的是,勒索軟體攻擊者行動速度極快。如果你的公司需要數週才能發現被盜憑證,那麼這場戰鬥已經輸了。

我們為各組織機構在2026年應對挑戰提出以下一些建議:

  1. 擁抱無密碼和 FIDO2:抵禦網路釣魚和資訊竊取的唯一真正防禦手段是徹底移除密碼。過渡到 FIDO2 金鑰可確保即使員工被誘騙造訪假登入頁面,也不會有任何可重複使用的憑證被竊取。
  2. 實施以身分為中心的零信任:安全團隊必須對每一次身分驗證嘗試都保持警惕,並將端點偵測與回應 (EDR) 與身分威脅偵測與回應 (ITDR) 結合,以關聯兩個環境中的行為異常。
  3. 控制AI瀏覽器傳播途徑:如果員工直接在ChatGPT中按下「Ctrl+V」貼上,傳統的資料防洩漏(DLP)工具將無法監控檔案傳輸。企業必須採用企業級瀏覽器或瀏覽器安全擴充功能來監控、管理和阻止敏感資料被貼上到未經授權的GenAI聊天機器人。
  4. 持續監控暗網和 Telegram:等待安全漏洞通知為時已晚。企業需要持續的威脅情報監控,以便在初始訪問經紀商 (IAB) 將憑證出售給勒索軟體關聯方之前,攔截已交易的憑證。

密碼曾經是開啟安全之門的鑰匙。如今,它們卻成了暗網上大量交易的累贅。展望未來,企業安全的未來在於驗證 行為,而不僅僅是驗證一串字元。

文章來源/Check Point Blog Check Point Blog

返回