2025-08-05

今年第二季，多起郵件系統相關的重大安全事件被揭露。4月份，日本知名的Web郵件系統Active! Mail爆出高風險漏洞CVE-2025-42599，緊接著在6月份，郵件伺服器Roundcube也被揭露存在幾近滿分的重大漏洞CVE-2025-49113。同月，還爆出Microsoft Office Outlook存在「目錄遍歷」（Path Traversal）漏洞，除此之外，還觀察到大量濫用合法信任來源的釣魚郵件活動。

2025-06-23

郵件安全趨勢強調更嚴格的身分驗證要求，Gmail和Yahoo等主要郵件服務提供商除了持續推動SPF、DKIM和DMARC等認證協議的採用，也逐步將目標指向DMARC的p=reject的郵件政策，以防止域名被冒用。發送來源的驗證與檢測，也逐漸由IP信譽轉為域名信譽。

2025-05-05

郵件安全趨勢強調更嚴格的身分驗證要求，Gmail和Yahoo等主要郵件服務提供商除了持續推動SPF、DKIM和DMARC等認證協議的採用，也逐步將目標指向DMARC的p=reject的郵件政策，以防止域名被冒用。發送來源的驗證與檢測，也逐漸由IP信譽轉為域名信譽。

2025-03-18

回顧2024這一年，被濫用於攻擊或夾帶垃圾訊息的Word文件，以及透過新註冊域名或不存在的假冒域名發送垃圾郵件的數量，都較2023年成長了約50%左右。針對2024年郵件攻擊手法與樣態，本文整理出三個主要的趨勢。

2024-11-08

電子郵件安全整體的基調仍以氾濫的釣魚郵件為主。利用QRcode將釣魚連結編碼的攻擊已漸漸常態化，成為釣魚郵件流行的一種類型。比較值得注意的是，本季發現試圖利用CVE-2014-4114的惡意郵件的趨勢明顯升高，附件檔多為.ppt。

2024-08-29

網路攻擊分工越來細緻，近期明顯區分為初始入侵與後續的橫向移動或進階攻擊兩大階段，而初始入侵主要透過漏洞利用或外洩憑證為兩大入侵手段。其中，外洩憑證重要的獲取管道之一，就是透過釣魚郵件，而本季需要特別留意的便是釣魚郵件。

2024-03-20

根據ASRC研究中心的觀察，2023年相較於前一年，整體的電子郵件數量成長了20%；可在第一時間被防毒軟體察覺的病毒郵件雖然減少了16%，並不代表攻擊趨勢有所減緩；在帶有威脅的郵件中，含有惡意超連結的郵件增加35%，夾帶惡意檔案的郵件則大幅增加了96%。

2023-11-07

在第三季，郵件內帶有惡意連結的情況較上一季增加了60%；垃圾郵件的大小與419scam的數量，與上一季相較都減少了30%左右，釣魚郵件是本季最主要的攻擊。

2023-03-21

2022年對許多人來說是艱困的一年，世界仍受疫情影響，全球性通膨也讓經濟局勢難以樂觀，加上地緣政治風險不斷升高、戰爭爆發，更讓資訊安全的重要性被瞬間拉高。藉由回顧2022電子郵件的攻擊樣態，思考2023即將可能面對的攻擊趨勢與未知風險，並及早防範！

2022-11-02

時序來到了今年的第三季，隨著國際氛圍的緊張化，帶有惡意連結的攻擊郵件較上一季增長了4倍、帶有HTML的釣魚郵件則成長了3倍；詐騙及APT攻擊、漏洞的利用都較上季略為成長，但整體垃圾郵件的數量、常見病毒郵件的數量都有下降的趨勢。

2022-07-29

ASRC研究中心在2022年上半觀察到的幾個特殊郵件案例，包括Emotet捲土重來，以加密惡意附件躲避防禦偵測；Follina、Dogwalk等新的漏洞攻擊接連爆發；透過攻擊新手法提高駭侵成功率；針對電商帳號的釣魚攻擊；利用烏俄戰爭議題的詐騙郵件。

2022-03-05

相較於2020年，2021年度的垃圾郵件總量成長幅度約為8%，但垃圾郵件的大小卻成長了43%。在威脅郵件方面，利用免費表單生成、架站平台進行的釣魚攻擊郵件成長了210%；一般性詐騙郵件上升了近60%；偽冒為快遞、郵務相關詐騙成長了近25倍；針對企業交易時所進行的BEC攻擊郵件數量，則較2020年成長了近8倍。

2021-11-09

中華數位科技與ASRC研究中心發表2021年第三季電子郵件安全觀察報告，當前的須留意的威脅包括：釣魚郵件透過HTML標籤挑選攻擊標的、偽冒航空公司的忠誠回饋調查來釣取信用卡資訊、與自身業務有關的社交工程攻擊、藉郵件壓縮檔炸彈來癱瘓過濾系統。

2021-08-09

ASRC垃圾訊息研究中心調查發現，第二季整體垃圾郵件量相較上一季增加50%，帶有Office惡意文件的攻擊郵件則較上一季增加3.5倍，而離線釣魚的數量成長了2.4倍；針對Microsoft Office漏洞利用，則以CVE201711882及CVE20180802為主。本文將針對第二季重要的攻擊手法與樣本進行分析。

2020-03-03

垃圾郵件與病毒郵件數量持續成長，郵件量爆發、詐騙郵件及釣魚攻擊更是日益增加，電子郵件仍會是網路攻擊重要的入侵管道，多因素驗證已是勢在必行。隨著5G基礎建設部署日漸成熟，整體網速加快，遭到刺探、洩資的速度與規模都將跟著大幅提高。

2019-06-28

WannaCrypt是透過Windows作業系統的漏洞，以蠕蟲方式進行傳播擴散，微軟也因為這個事件，破例對已當時停止技術支援的Windows XP釋出修補程式。這個事件是一個經典，也讓許多人見識到了勒索軟體的影響力。

2019-05-01

WannaCrypt是透過Windows作業系統的漏洞，以蠕蟲方式進行傳播擴散，微軟也因為這個事件，破例對已當時停止技術支援的Windows XP釋出修補程式。這個事件是一個經典，也讓許多人見識到了勒索軟體的影響力。

2015-08-12

只有極少的惡意郵件，能藉由剖析郵件遞送機制的漏洞直接達成入侵。對於攻擊者而言，礙於電子郵件本體難以實現自動執行惡意程序的先天限制，不論是非特定或特定對象的攻擊，都需要透過社交工程的手段─「欺騙」被攻擊者並令其配合來實現。

2015-06-29

以低技術難度網路攻擊來牟取高獲利的匯款詐騙手法，多出現在商務洽談出貨或付款的階段，但事實上，攻擊者多半早已竊取該信箱的郵件一段時間，只是靜待進行匯款交易時，才伺機從中變造郵件，誤導付款方將款項匯至攻擊者的帳戶。

2014-10-20

釣魚郵件要攻擊成功，一般至少需要滿足三個步驟：釣魚郵件發送、受害人接收、受害人依釣魚郵件期望行動。只要能破壞其中一個步驟，釣魚郵件就無法順利完成攻擊。