2024年PSN账号安全测评：如何防范社会工程学攻击与接管风险

PlayStation Network（PSN）近期暴露了一个高危安全漏洞。若官方不及时修复其账户管理协议，大量玩家账号可能面临被“静默”接管的风险。

这一漏洞的揭露，源于游戏播客《Sacred Symbols》主持人科林·莫里亚蒂的真实遭遇。他在节目中完整复盘了攻击过程，其手法并非数据库入侵或钓鱼，而是精准利用了官方客服渠道的社会工程学攻击。

攻击逻辑直击要害：攻击者无需破解密码。他们只需伪装成账号所有者，通过话术说服客服人员，即可完成账户控制权的转移。那么，实施攻击需要哪些“素材”？

攻击门槛极低：公开数据即成密钥

你或许认为需要高度私密的信息？事实恰恰相反。攻击者往往仅需收集一些公开或半公开的碎片化数据：你的PSN在线ID、关联邮箱、某次数字消费的大致时间，乃至特定游戏的购买日期。

这并非理论推演。用户PorkPoncho在获得家人授权后进行了实测。仅凭其妹妹账号的两笔游戏交易日期及基础信息，他便成功通过了客服身份核验，直接登入账户。这证实了现有验证流程存在可被利用的缺陷。

更严峻的是，部分信息甚至可通过公开行为数据推断。例如，若某玩家在《生化危机9》发售当日便解锁了首个奖杯，攻击者便可高度确信其于发售日购买了该游戏。虽无法区分数字版与实体版，但在多次尝试、遇到审核标准宽松的客服时，此推断便能显著提升攻击成功率。

防线失守：账户恢复通道可能永久关闭

一旦攻击者通过客服验证这道闸门，进入你的账户，基本意味着防线全面崩溃。他们可立即修改绑定邮箱、关闭双重认证等所有关键安全设置。而整个过程中，系统可能不会向原账户持有人发送任何异常登录告警或二次确认。

这意味着，你的账户控制权可能在毫无察觉的情况下瞬间转移。后续的账户恢复流程，将变得异常艰难。

莫里亚蒂在播客中提到，他能迅速解决问题，很大程度上依赖其在索尼内部的私人联络渠道。但这对于绝大多数普通玩家而言，是完全不存在的“特权通道”。此前，知名成就猎人哈库姆的账号以相同方式失窃且最终未能找回，已是沉重先例。

此漏洞的根本风险在于，它将账户安全的最终裁决权，寄托于人工客服的身份核验流程。而当核验所依据的信息本身易于公开获取或推导时，这道最终防线便显得不堪一击。对于索尼与全球玩家而言，彻底审视并加固这套账户安全协议已刻不容缓。

来源：互联网