全球知名的人為風險管理資安平台 KnowBe4 2025/7/17發布 2025 年第二季《模擬釣魚郵件觀察報告》。本報告顯示,員工對看似熟悉的郵件仍具有高度信任,無論是假冒人資、IT 部門,或是知名品牌的釣魚郵件,都容易讓員工上當受騙。其中,以「內部主題郵件」為主的社交工程手法依然是最具欺騙力的攻擊方式,占據 98% 的熱門主旨內容。
本次報告所引用的數據,皆來自 2025 年 4 月 1 日至 6 月 30 日期間,KnowBe4 HRM+ 平台所執行的模擬釣魚郵件訓練結果。
第二季報告重點發現如下:
與前一季趨勢一致
模擬釣魚攻擊的點擊模式與 2025 年第一季相當一致(1 月 1 日至 3 月 31 日)。
內部主題郵件占主導地位
在點擊率最高的前 10 種電子郵件範本中,有高達 98.4% 採用「內部主題」設計。
-
其中 42.5% 與人資主題有關(如:薪資調整、福利更新)
-
21.5% 為 IT 部門相關主題(如:密碼重設、系統升級)
品牌偽裝網頁廣泛出現
在互動過的釣魚登陸頁面中,有 71.9% 含有品牌化內容。
-
Microsoft 為最常見的品牌(占 26.7%),
-
其次為 LinkedIn、X(原 Twitter)、Okta 和 Amazon。
超連結點擊概況
在點擊次數最高的前 20 個連結中,有 80.6% 來自內部主題郵件。
-
其中 68.2% 使用了網域偽裝技術來混淆使用者。
附件互動趨勢
PDF 附件的點擊率比第一季增加了 8.1%。
-
在前 20 名常見附件中,PDF 文件占 61.1%,
-
其次為 HTML 檔案(20.9%)與 Word 文件(18.0%)。
KnowBe4 資安倡議者 Erich Kron 表示:
「這份報告最關鍵的洞察之一,就是『信任』在人為資安防禦中扮演的重要角色。無論是來自內部部門、熟悉品牌,或是已知同事的信件,這類看似可靠的寄件者最容易降低使用者的警覺心。我們在實際攻擊事件中一次又一次地看到,攻擊者利用社交工程技巧操作人性本能,讓員工更難分辨真偽。」
Kron 補充說道:
「這些結果再次強調組織必須從『人』的角度出發,採取多層式的人為風險管理防禦策略,包括提供具時效性與關聯性的訓練課程、導入智慧型威脅偵測技術,以即時識別並化解風險,強化整體防護力。」
關於 KnowBe4
KnowBe4 是全球唯一專注於「人為風險管理」的 AI 驅動資安平台,協助全球超過 70,000 家企業建構資安文化、提升員工識詐能力。其 HRM+ 平台結合資安訓練、合規教育、雲端信件防護、即時回饋、AI 防禦助理等模組,為組織打造能主動防禦威脅的使用者行為防線。
關於易璽科技
易璽科技是 KnowBe4 台灣區正式技術夥伴,專注於企業網路架構、資安建置、資料保護與網路監控,致力為企業提供穩定、安全、高效的網路與資安解決方案。我們擁有豐富的 KnowBe4 導入經驗,並提供中文化訓練資源與法規導向服務,協助企業強化人因資安防護力。
電話:02-2397-0257 LINE ID:@ecnetworker
E-mail:jane@ecnetworker.com
立即與我們聯繫,了解更多資安服務與客製方案!
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
2025-12-15