ASRC 2025 郵件安全回顧與預測：合法服務淪為駭客武器，社交工程劇本更在地更精細

在 ASRC 與中華數位科技 2025 年全年度監測約 40 億封郵件流中，以偽造攻擊（Forgery）為主流，超過六成的攻擊透過偽冒身分（Spoofing）、變臉詐騙（BEC）來欺騙收件人。ASRC 示警，傳統依賴「黑白名單」的防禦邊界正面臨失效，攻擊者大規模將「合法服務武器化」，並針對使用者進行高度「在地化」的心理操弄 。

2025 的兩大核心郵件威脅：合法掩護非法、社交工程在地化且精細化

一、合法服務武器化

攻擊者透過「寄生」於合法的網路基礎設施，使惡意郵件在外觀與技術指標上呈現「無害」的假象，藉此繞過資安閘道器。

1. 濫用「連結置換（URL Rewriting）」防護機制： 攻擊者利用遭駭的企業帳號發信，其內含的惡意連結已被微軟或資安廠商的防護機制改寫（如 safelinks）。使用者看到連結帶有資安廠商網域，誤以為經過掃描確認安全，反而降低戒心。

2. 短網址與開放轉址（Open Redirect）： 利用知名網站未修補的轉址漏洞（如 legitimate.com/redirect?url=evil.com），讓郵件過濾器誤判為合法網站，實則將使用者導向釣魚頁面。

3. 合法網站淪為跳板： 攻擊者入侵維護不善的 WordPress 等合法網站植入惡意頁面。由於這些網站域名信譽（Domain Reputation）良好，極難被攔截。

二、社交工程在地化與精細化

攻擊劇本不再通用化，而是針對台灣使用者的生活習慣、常用軟體與法律恐懼進行高度客製化。

1. 跨平台引流詐騙： 攻擊者多半利用 Gmail、mail.ru、AOL、Hotmail、Yahoo 等免費信箱寄送郵件。郵件僅作為誘餌，郵件中不含惡意連結或附件，因此不易被資安防護設備檢出，目的是將受害者都引導至封閉的 LINE 群組，後續的社交工程攻擊對象皆瞄準群組內的財務人員。此類詐騙發送者經常偽裝成公開可查的企業負責人、高階主管，藉此提高信任感與威權壓力。

2. 權威機構與生活服務偽冒：

   • 公部門： 假冒健保局、國稅局或法院傳票，利用民眾對公權力的敬畏。

   • 生活應用： 針對 PXpay 等在地支付工具，發送「資料確認」通知竊取憑證。

3. 高度仿真的「侵權警告」： 攻擊者寄送內容詳盡的版權侵害通知，雖舉證歷歷但發信源多為 Gmail 等免費信箱。此手法利用受害者害怕法律糾紛的心理，誘騙點擊連結。

4. ClickFix 手法的技術演變： 2025年初，透過郵件的Clickfix主要於郵件內容中誘導使用者手動「複製貼上」PowerShell 指令。年末，我們發現另一種特殊的ClickFix攻擊。ClickFix整體改用 HTML 附件的方式寄送ClickFix攻擊。特殊之處在於受害者打開HTML檔時，瀏覽器先出現假的Google reCAPTCHA驗證畫面，實際上並沒有任何驗證功能。當受害者打開惡意 HTML 時，就已經被寫在其中的document.execCommand('copy'); 強制將惡意代碼寫入受害者電腦的剪貼簿中；接下來會要求受害者呼叫出 Windows 的「執行」功能，再令其貼上剪貼簿中的惡意程式碼並按下Enter執行。惡意程式碼及惡意下載連結，皆以Base64編碼增加偵測的難度。

2026 年技術趨勢預測，防禦將面臨更嚴峻的挑戰

AI 驅動的「超仿真」社交工程
攻擊者將利用 AI 生成語氣完美、且完全符合在地文化用語的信件。更甚者，攻擊將升級為「多模態（Multimodal）」形式，結合 AI 生成的深偽（Deepfake）語音（如假冒老闆的語音指令）、視訊、圖片與高度逼真的商業文件，讓詐騙場景無懈可擊。

QR Code 釣魚 (Quishing) 的常態化
預期攻擊者將更頻繁地將惡意連結轉為 QR Code，夾帶於 PDF 附件或文件中，迫使使用者改用防護較弱的手機進行存取。

供應鏈攻擊深化 (Supply Chain & VEC)
在直接入侵目標企業日益困難，攻擊者轉而鎖定其供應商。透過潛伏於供應商的郵件系統，長期監控業務往來。等待關鍵時刻，利用真實的歷史郵件串發動「回信攻擊（Reply-chain Attack）」，插入詐騙匯款資訊。

瀏覽器即戰場 (Browser-based Threats)
攻擊重心將進一步移往瀏覽器層面。包括惡意擴充套件（Extensions）的濫用，或是利用 PWA（漸進式網頁應用程式）技術，將惡意程式偽裝成合法 APP 誘導使用者安裝，藉此繞過作業系統的安全機制。

完整的趨勢報告及樣本解析，請參考《ASRC 2025 年郵件安全回顧與預測》：https://www.asrc-global.com/insights.html?nid=1148