微軟揭露AI使網釣點擊率飆升4.5倍，竊資軟體興起亦備受關注

在去年10月發布的微軟2025數位防禦報告中，揭示近期網路犯罪手法出現一項重要變化，正從傳統的系統入侵，大幅轉向竊取合法身分後進行非法登入。對此，微軟印度暨南亞區首席資安顧問Anujh Tewari也進一步解析，指出「社交工程」、「初始存取」、「AI」與「竊資軟體」是企業必須關注的四大重點。

首先，我們從新興的竊資軟體（InfoStealer）威脅來看，Anujh Tewari指出，這類惡意威脅幾年前未被視為重要的網路攻擊類別，但2025年微軟觀察到「竊資軟體即服務（InfoStealer as a Service）」模式大量出現，大幅降低攻擊門檻。

對此態勢，我們並不感到意外。事實上，過去兩三年來，iThome已多次報導資安公司揭露不同竊資軟體活動的消息。這類惡意威脅不僅能竊取瀏覽器存放的帳號密碼與憑證，亦可存取瀏覽器中的Cookie；部分能力更強的變種，甚至能直接劫持Session Cookie，利用已完成驗證的登入狀態來繞過MFA的防護。

值得注意的是，不常接觸資安的人可能誤以為竊資軟體是「偷資料」的惡意軟體。事實上，這裡竊取的「資」是指身分驗證相關的「資訊」（Information），而非一般的「資料（Data）」。更具體地說，InfoStealer竊取的是所謂的憑證（Credentials），包含登入帳密、瀏覽器紀錄的密碼、加密貨幣錢包相關憑證，以及至關重要的Session Cookie。因此，攻擊者並非直接竊取文件，而是先奪取身分權限。一旦身分失守，後續威脅將不再侷限於資料外洩，更可能演變為深度的企業滲透、惡意加密、資料刪除，甚至導致整體的業務停擺與商譽損失。

另一更關鍵的威脅態勢，在於社交工程、初始存取、AI的交互作用。Anujh Tewari引用具體數據說明其嚴重性。微軟發現，AI加持下的網釣攻擊點擊率高達54%，相較於傳統釣魚手法的12%，大幅高出4.5倍。他並表示，這顯示一般用戶難以辨別真偽，情況令人憂心。

長期以來，社交工程與初始存取一直是網路攻擊的核心戰術，網釣攻擊至今仍是最常見的攻擊管道之一，但現在的狀況是，攻擊者愈來愈頻繁運用AI，打造高度逼真的社交工程誘騙手法，過去許多資安業者都針對此一威脅態勢示警，例如去年Google在臺揭露攻擊者運用AI真實現況，亦曾提到AI已成為強化社交工程攻擊的常見手法。

對於社交工程、初始存取、AI的融合攻擊態勢演變，Anujh Tewari指出，2025年的主要威脅已不再侷限於電子郵件，駭客開始利用Teams等協作工具撥打語音電話，冒充IT人員直接騙取存取權限，這類手法正變得愈來愈常見。近年來，我們也多次報導駭客團體Scattered Spider的攻擊事件，以及駭客假扮外部供應商員工透過Microsoft Teams電話發動網釣攻擊，也印證這類威脅日益增加的趨勢。

綜合來看，上述攻擊手段最終都指向同一個目標：突破身分權限。根據微軟報告指出，超過97%的身分識別攻擊源自「密碼攻擊」。僅在2025年上半年，身分識別類攻擊便激增32%，顯示企業遭遇的大多數惡意登入嘗試，駭客多半是利用已外洩的帳密資料庫，發動大規模撞庫攻擊。

然而，微軟現也指出，利用外洩憑證嘗試非法登入並非唯一的攻擊手段，竊資軟體的使用量在2025年顯著上升，逐漸成為駭客取得初始存取權的重要途徑；此外，Anujh Tewari還提醒，雲端身分濫用呈現增加趨勢，同樣是值得企業持續關注的面向。