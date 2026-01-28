在ASRC與中華數位科技2025年全年度監測約40億封郵件流中，以偽造攻擊（Forgery）為主流，超過六成的攻擊透過偽冒身分（Spoofing）、變臉詐騙（BEC）來欺騙收件人。

ASRC示警，傳統依賴「黑白名單」的防禦邊界正面臨失效，攻擊者大規模將「合法服務武器化」，並針對使用者進行高度「在地化」的心理操弄。2025的兩大核心郵件威脅：合法掩護非法、社交工程在地化且精細化。

一、 ：攻擊者透過「寄生」於合法的網路基礎設施，使惡意郵件在外觀與技術指標上呈現「無害」的假象，藉此繞過資安閘道器。

濫用「連結置換（URL Rewriting）」防護機制：攻擊者利用遭駭的企業帳號發信，其內含的惡意連結已被微軟或資安廠商的防護機制改寫（如safelinks）。使用者看到連結帶有資安廠商網域，誤以為經過掃描確認安全，反而降低戒心。 短網址與開放轉址（Open Redirect）：利用知名網站未修補的轉址漏洞（如legitimate.com/redirect?url=evil.com），讓郵件過濾器誤判為合法網站，實則將使用者導向釣魚頁面。 合法網站淪為跳板：攻擊者入侵維護不善的WordPress等合法網站植入惡意頁面。由於這些網站域名信譽（Domain Reputation）良好，極難被攔截。

二、 ：攻擊劇本不再通用化，而是針對台灣使用者的生活習慣、常用軟體與法律恐懼進行高度客製化。

跨平台引流詐騙：攻擊者多半利用Gmail、mail.ru、AOL、Hotmail、Yahoo等免費信箱寄送郵件。郵件僅作為誘餌，郵件中不含惡意連結或附件，因此不易被資安防護設備檢出，目的是將受害者都引導至封閉的LINE群組，後續的社交工程攻擊對象皆瞄準群組內的財務人員。此類詐騙發送者經常偽裝成公開可查的企業負責人、高階主管，藉此提高信任感與威權壓力。 權威機構與生活服務偽冒： 公部門：假冒健保局、國稅局或法院傳票，利用民眾對公權力的敬畏。

生活應用：針對PXpay等在地支付工具，發送「資料確認」通知竊取憑證。 高度仿真的「侵權警告」：攻擊者寄送內容詳盡的版權侵害通知，雖舉證歷歷但發信源多為Gmail等免費信箱。此手法利用受害者害怕法律糾紛的心理，誘騙點擊連結。 ClickFix手法的技術演變：2025年初，透過郵件的Clickfix主要於郵件內容中誘導使用者手動「複製貼上」PowerShell指令。年末，我們發現另一種特殊的ClickFix攻擊。ClickFix整體改用HTML附件的方式寄送ClickFix攻擊。特殊之處在於受害者打開HTML檔時，瀏覽器先出現假的Google reCAPTCHA驗證畫面，實際上並沒有任何驗證功能。當受害者打開惡意HTML時，就已經被寫在其中的document.execCommand（'copy'）；強制將惡意代碼寫入受害者電腦的剪貼簿中；接下來會要求受害者呼叫出Windows的「執行」功能，再令其貼上剪貼簿中的惡意程式碼並按下Enter執行。惡意程式碼及惡意下載連結，皆以Base64編碼增加偵測的難度。

：攻擊者將利用AI生成語氣完美、且完全符合在地文化用語的信件。更甚者，攻擊將升級為「多模態（Multimodal）」形式，結合AI生成的深偽（Deepfake）語音（如假冒老闆的語音指令）、視訊、圖片與高度逼真的商業文件，讓詐騙場景無懈可擊。

：預期攻擊者將更頻繁地將惡意連結轉為QR Code，夾帶於PDF附件或文件中，迫使使用者改用防護較弱的手機進行存取。

：在直接入侵目標企業日益困難，攻擊者轉而鎖定其供應商。透過潛伏於供應商的郵件系統，長期監控業務往來。等待關鍵時刻，利用真實的歷史郵件串發動「回信攻擊（Reply-chain Attack）」，插入詐騙匯款資訊。

：攻擊重心將進一步移往瀏覽器層面。包括惡意擴充套件（Extensions）的濫用，或是利用PWA（漸進式網頁應用程式）技術，將惡意程式偽裝成合法APP誘導使用者安裝，藉此繞過作業系統的安全機制。