在ASRC與中華數位科技2025年全年度監測約40億封郵件流中,以偽造攻擊(Forgery)為主流,超過六成的攻擊透過偽冒身分(Spoofing)、變臉詐騙(BEC)來欺騙收件人。
ASRC示警,傳統依賴「黑白名單」的防禦邊界正面臨失效,攻擊者大規模將「合法服務武器化」,並針對使用者進行高度「在地化」的心理操弄。2025的兩大核心郵件威脅:合法掩護非法、社交工程在地化且精細化。
一、:攻擊者透過「寄生」於合法的網路基礎設施,使惡意郵件在外觀與技術指標上呈現「無害」的假象,藉此繞過資安閘道器。
- 濫用「連結置換(URL Rewriting)」防護機制:攻擊者利用遭駭的企業帳號發信,其內含的惡意連結已被微軟或資安廠商的防護機制改寫(如safelinks)。使用者看到連結帶有資安廠商網域,誤以為經過掃描確認安全,反而降低戒心。
- 短網址與開放轉址(Open Redirect):利用知名網站未修補的轉址漏洞(如legitimate.com/redirect?url=evil.com),讓郵件過濾器誤判為合法網站,實則將使用者導向釣魚頁面。
- 合法網站淪為跳板:攻擊者入侵維護不善的WordPress等合法網站植入惡意頁面。由於這些網站域名信譽(Domain Reputation)良好,極難被攔截。
二、:攻擊劇本不再通用化,而是針對台灣使用者的生活習慣、常用軟體與法律恐懼進行高度客製化。
- 跨平台引流詐騙:攻擊者多半利用Gmail、mail.ru、AOL、Hotmail、Yahoo等免費信箱寄送郵件。郵件僅作為誘餌,郵件中不含惡意連結或附件,因此不易被資安防護設備檢出,目的是將受害者都引導至封閉的LINE群組,後續的社交工程攻擊對象皆瞄準群組內的財務人員。此類詐騙發送者經常偽裝成公開可查的企業負責人、高階主管,藉此提高信任感與威權壓力。
- 權威機構與生活服務偽冒:
- 公部門:假冒健保局、國稅局或法院傳票,利用民眾對公權力的敬畏。
- 生活應用:針對PXpay等在地支付工具,發送「資料確認」通知竊取憑證。
- 高度仿真的「侵權警告」:攻擊者寄送內容詳盡的版權侵害通知,雖舉證歷歷但發信源多為Gmail等免費信箱。此手法利用受害者害怕法律糾紛的心理,誘騙點擊連結。
- ClickFix手法的技術演變:2025年初,透過郵件的Clickfix主要於郵件內容中誘導使用者手動「複製貼上」PowerShell指令。年末,我們發現另一種特殊的ClickFix攻擊。ClickFix整體改用HTML附件的方式寄送ClickFix攻擊。特殊之處在於受害者打開HTML檔時,瀏覽器先出現假的Google reCAPTCHA驗證畫面,實際上並沒有任何驗證功能。當受害者打開惡意HTML時,就已經被寫在其中的document.execCommand('copy');強制將惡意代碼寫入受害者電腦的剪貼簿中;接下來會要求受害者呼叫出Windows的「執行」功能,再令其貼上剪貼簿中的惡意程式碼並按下Enter執行。惡意程式碼及惡意下載連結,皆以Base64編碼增加偵測的難度。
:攻擊者將利用AI生成語氣完美、且完全符合在地文化用語的信件。更甚者,攻擊將升級為「多模態(Multimodal)」形式,結合AI生成的深偽(Deepfake)語音(如假冒老闆的語音指令)、視訊、圖片與高度逼真的商業文件,讓詐騙場景無懈可擊。
:預期攻擊者將更頻繁地將惡意連結轉為QR Code,夾帶於PDF附件或文件中,迫使使用者改用防護較弱的手機進行存取。
:在直接入侵目標企業日益困難,攻擊者轉而鎖定其供應商。透過潛伏於供應商的郵件系統,長期監控業務往來。等待關鍵時刻,利用真實的歷史郵件串發動「回信攻擊(Reply-chain Attack)」,插入詐騙匯款資訊。
:攻擊重心將進一步移往瀏覽器層面。包括惡意擴充套件(Extensions)的濫用,或是利用PWA(漸進式網頁應用程式)技術,將惡意程式偽裝成合法APP誘導使用者安裝,藉此繞過作業系統的安全機制。