回顧2024這一年,被濫用於攻擊或夾帶垃圾訊息的Word文件,以及透過新註冊域名或不存在的假冒域名發送垃圾郵件的數量,都較2023年成長了約50%左右。針對2024年郵件攻擊手法與樣態,本文整理出三個主要的趨勢。
很快地來到了2025年,回顧2024這一年,被濫用於攻擊或夾帶垃圾訊息的Word文件,以及透過新註冊域名或不存在的假冒域名發送垃圾郵件的數量,都較2023年成長了約50%左右。
相反地,透過同一IP連續發送、退信攻擊,或動態IP發送的垃圾郵件都有明顯降低的趨勢,或許是攻擊者有意減少無效或易被偵測的攻擊手段。針對2024年郵件攻擊手法與樣態,以下整理出三個主要的趨勢:
趨勢一:瀏覽器是重要的攻擊目標
第一季的攻擊郵件中,發現夾帶.svg附件檔的釣魚郵件。.svg檔是可縮放向量圖形(Scalable Vector Graphics,SVG),基於可延伸標記式語言(XML),用於描述二維向量圖形的圖形格式。.svg檔可以像HTML檔案一樣,在其中編寫HTML和JavaScript,並能夠將惡意內容藏於其中,而作業系統預設會以瀏覽器作為這類檔案的開啟程式,瀏覽器可以完全執行.svg中的程式碼內容。
圖1 郵件內文並不會出現釣魚連結,而是透過夾帶HTML的附件檔,將釣魚網址隱匿於其中。
另外,HTML Phishing也是常被用來利用瀏覽器的手段!與傳統釣魚郵件較明顯的差異是,HTML Phishing的郵件內文並不會出現釣魚連結,而是透過夾帶一個HTML的附件檔,將釣魚網址隱匿於其中,並且搭配混淆或編碼的手段,讓檢查HTML原始碼的過程無法直觀察覺,執行過程如圖1~圖3所示。
圖2 透過瀏覽器執行JavaScript解碼釣魚網址,送出受害者的機敏資料。
此外,也發現2024年11月HTML Phishing數量大爆發,成長幅度約為三個月來的2倍之多。
趨勢二:手機成為新的破口
透過QR Code隱藏釣魚網址的技術,稱為Quishing(QR Code Phishing),本質上是一種網路釣魚攻擊,與傳統網路釣魚攻擊使用許多相同的概念與技術。差別在於利用QR Code隱藏釣魚網址以防安全機制的偵測,且受攻擊者多半以手機來解碼QR Code,因此將釣魚攻擊目標由受保護的個人電腦,轉移至較不受保護的自攜電子設備(Bring Your Own Device,BYOD)。而通常手機所使用的私人網路較不受企業組織的管理與限制,因此連往惡意網站是相對更加容易。
Quishing已逐漸成為常態。在第三季,觀察到大規模的Quishing攻擊,多半是假冒政府或企業發放福利,並附上以QR Code編碼過的釣魚網址,這些釣魚網站的目標鎖定手機裝置,必須使用手機裝置拜訪才能正確地顯示詐騙頁面。
圖3 透過瀏覽器執行JavaScript還原被混淆的釣魚網址,送出受害者的機敏資料。
防範Quishing,可透過電腦視覺技術自動辨識郵件內的圖片,解析出可能潛藏在QR Code裡的惡意網址並加以阻擋。
但是,有些攻擊者將QR Code碎片化,再透過郵件內文排版,讓收件者可以看見並掃描完整的QR Code內容,並且躲過傳統針對單一圖片QR Code的辨識(圖4)。
圖4 使用HTML排版碎片化後的QR Code,視覺上可以看到完整的QR Code,卻能躲過傳統針對單一QR Code圖片的辨識。
趨勢三:以假亂真的社交工程手段
社交工程攻擊的手段主要聚焦於「以假亂真」。不論是冒名侵權警告的攻擊郵件,或是在防制詐騙的宣導郵件裡塞入釣魚連結,都很讓人錯亂。但更讓人頭痛的,是利用公有服務轉址來增加隱蔽性(圖5)。在2024年,就發現Bing和Google的部分服務被用來做為轉址(圖6)。
圖5 越來越多的釣魚郵件中,夾帶的連結並非指向明顯的惡意網站,而是知名的合法服務位址。
圖6 Bing的AMP技術被利用於釣魚網站轉址。
面對這類透過公有服務轉址的攻擊,就必須透過上網管理或瀏覽器的網址過濾來進行防護。
結語
AI時代已來臨,站在釣魚郵件的觀察與研究角度,我們認為釣魚郵件的在地化翻譯流暢度、內容多樣性尚未有明顯的改變,但攻擊的變化速度較以往更快也更複雜。因此,AI對於郵件安全的衝擊,不僅是用於協助編寫釣魚郵件並且批次發送那麼簡單;透過AI的協助,將複雜、更多層次的隱蔽技術、偽裝能力,甚至進階攻擊架構變得簡單而容易達成!
<本文作者:高銘鍾現為ASRC垃圾訊息研究中心主任>