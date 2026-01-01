在數位轉型高度成熟的今日，電子郵件依舊是企業內外溝通最核心的基礎設施。然而，這個看似成熟穩定的工具，卻成為網路罪犯最佳的攻擊起點。

從產業實務觀察可發現，無論企業規模大小、產業別為何，只要存在電子郵件系統，就無可避免地暴露在各式威脅之下。本篇文章以產業角度出發，結合第三方測試報告與實際攻擊案例，系統性說明電子郵件威脅的演進脈絡，並探討企業在防禦面應如何重新思考對策。

產業現況：電子郵件威脅為何持續升溫

電子郵件之所以長期成為主要攻擊管道，關鍵在於它同時具備「高信任度」與「高影響力」兩項特性。員工每天大量處理郵件，早已養成快速判斷與回應的習慣，而攻擊者正是利用這種工作節奏與心理盲點，設計出極具欺騙性的攻擊內容。從產業趨勢來看，近年的電子郵件攻擊逐漸呈現三個明顯方向。

第一，攻擊高度客製化，內容不再是大量發送的制式垃圾信，而是貼近企業情境的精準釣魚。第二，攻擊形式多元化，從傳統PE（Portable Executable）執行檔延伸至釣魚連結、QR Code、HTML 檔案。第三，技術門檻降低，AI 與自動化工具讓駭客也能快速發動高品質攻擊。這些變化，使得電子郵件威脅不再只是資安部門的技術議題，而是整體營運風險的一環。

VBSpam 測試報告：附檔嵌入惡意腳本規避防毒引擎掃描

VBSpam測試報告[1]是由 Virus Bulletin 執行的國際性電子郵件安全評測計畫，定期以真實惡意信件樣本驗證各家資安廠商的防護能力。2025 年的測試結果，為產業提供了重要警訊，報告中特別指出兩類難以偵測的攻擊手法。

第一類是 .htm 附件，這種惡意信件會附加一個 HTM 檔，檔案內嵌 JavaScript 程式碼，當使用者在瀏覽器開啟時，會透過 Telegram API 將使用者的憑證（例如：帳號密碼）自動外洩至駭客的伺服器。

第二類是惡意 .svg 附件，可縮放向量圖形（SVG）本質上是 XML 格式，攻擊者可在其中寫入惡意 JavaScript。當使用者在瀏覽器或特定郵件軟體中開啟時，它能動態載入惡意內容，規避靜態防毒掃描。由於 SVG 圖檔在許多應用程式中被視為安全檔案類型，駭客利用此特性將其作為偷渡惡意程式的載體。對此，微軟已在2025年10月中旬宣布，Outlook 郵件軟體將不再顯示郵件內文中的 SVG 圖片，以降低相關風險。

.svg 附件內嵌 JavaScript 程式碼，可動態載入惡意內容

OSecure釣魚郵件案例剖析：攻擊者如何步步設局

以下將依據 OSecure 郵件資安防護中心觀察的實際案例，深入解析攻擊者常見的操作手法。這些案例皆源自真實的釣魚郵件樣本，顯示攻擊行為已高度在地化，攻擊者善於營造收件者熟悉的情境，以提高誘騙成功的機率。

攻擊者的終極目標並非竊取單一帳號，而是滲透組織的業務流程。駭客偽冒董事長辦公室發送郵件，誘導員工建立 Line 群組並回傳 QR Code；這個舉動表面上是行政作業，實則是為了建立不受監管的非正式溝通管道。這類攻擊會利用 Gmail 或 Outlook 等免費信箱，將顯示名稱換成公司負責人或高階主管，利用其姓名對員工進行社交工程誘騙。由於這些姓名都是公開資訊，因而成為攻擊者用來發動社交工程攻擊的利器。

來自免費信箱的Line 群組社交工程攻擊

攻擊者利用民眾對公權力的畏懼心理發動攻擊。下圖為偽造的法院通知書，顯示名稱變造為「行政訴訟起訴狀」，但是寄件網域為可疑的 .vip 而非 .gov.tw域名。內文提供檔案下載連結，宣稱是法院傳票或判決書，實際連結是帶有病毒的壓縮檔。受害者如果出於恐慌點擊下載，就會感染惡意軟體。





偽造的法院通知書

這封偽造的「銀行簽帳金融卡對帳單通知」展現了極高水準的擬真度。攻擊者採用顯示名稱偽冒（Display Name Spoofing）手法，將寄件人改名為銀行官方，意圖混淆收件人；然而，若檢視其寄件人網域，會發現該網域與官方 firstbank.com.tw 完全不符。附檔部分，攻擊者將惡意執行檔偽裝成「電子對帳單.pdf.zip」，試圖降低使用者戒心並繞過基礎防毒掃描。雖然內文語氣與格式幾乎與官方的版本無異，但仔細觀察仍可從措辭察覺出細微的差異。





偽造銀行對帳單通知

這封郵件屬於典型的物流主題釣魚攻擊，攻擊者偽裝成國際物流業者 DHL，以「包裹遭海關留置」為誘因，引導收件者進一步操作。經分析可發現，該郵件的寄件網域為第三方託管服務所發送，與 DHL 官方域名 dhl.com 並不相符。與傳統釣魚郵件不同的是，此郵件內容未包含任何可點擊的連結，而是嵌入一張 QR Code 圖片，並刻意引導收件者「使用手機掃描」。實際掃描後，會被重新導向至釣魚網站，進而要求使用者輸入機敏資訊。進一步將該 QR Code 所包含的 URL 提交至 VirusTotal 進行檢測，結果顯示該連結被多家防毒引擎判定為釣魚網址。



物流包裹二維碼釣魚攻擊

將 URL 提交到VirusTotal 檢測，被判定為釣魚網址







攻擊者假借採購經理名義，寄送看似正規的採購訂單。分析郵件特徵，可發現寄件網域為馬拉西亞機構（.org.my），與簽名檔標註的台灣公司「Formosa New Material Technology」完全不符，顯示其帳號可能遭盜用。其次，郵件夾帶一個名為「採購訂單.html」的高風險附檔；這類檔案常被封裝成偽造的登入頁面，一旦開啟便會引導至釣魚網站以竊取帳密。此類攻擊利用商務採購的時間急迫性，誘導用戶開啟附檔。企業應以此為戒，要求員工嚴格審核附件格式與寄件者來源，以防範潛在的資安威脅。





帶有高風險附檔的採購訂單

郵件防護新趨勢：AI 驅動的多層次防禦

隨著網路攻擊日益精密，傳統防禦方式已不足以應對。現代郵件安全策略已轉向「多層次」與「AI 驅動」為核心，MailGates 整合 SophosLabs intelix AI 技術，建立全方位防護機制：

•AI 信譽評分與路由分析：即時追蹤網站信譽，並針對郵件路由進行深度掃描，精準偵測僵屍網路，阻止惡意來源 IP 滲透。

•檔案深度解析（Static Analysis）： 利用 AI 機器學習模型進行靜態程式碼分析，無需執行檔案即可偵測惡意行為，有效攔阻新型態惡意程式。

•URL AI 分析模型：針對未知連結進行即時格式分析與反解 DNS 特徵，在使用者點擊前即阻斷潛在風險。

•整合 NLP 語意模型：透過自然語言處理技術，深度剖析郵件語意，強化商業郵件詐騙防護。





MailGates 整合 Sophos intelix AI 技術

結語：以郵件安全為基礎，打造企業數位韌性

電子郵件威脅的持續演進，顯示網路犯罪已高度組織化，攻擊目標不僅在技術層面，更直指企業流程與決策核心。對企業而言，郵件安全不只是 IT 成本，而是攸關營運穩定、法規遵循與品牌信譽的長期投資。唯有掌握資安趨勢，並落實縱深防禦策略，企業才能在不斷變化的攻防環境中，維持穩定的數位營運能力。

參考資料：

1.https://www.virusbulletin.com/virusbulletin/2025/06/vbspam-comparative-review/

＜本文作者：張峰銘現為網擎資訊（Openfind）資深產品經理＞