2025 郵件詐騙手法總整理:10 大趨勢與防禦重點
資訊安全, 郵件

2025 郵件詐騙手法總整理:10 大趨勢與防禦重點

2025年,郵件詐騙手法持續進化,從傳統的釣魚郵件升級到更具隱蔽性與自動化的攻擊形式。隨著AI技術與釣魚即服務(PhaaS)快速發展,企業與個人面臨更大安全威脅。本文將全面解析2025年郵件詐騙的10大趨勢,並提供實務防禦重點,幫助您有效識別與抵禦最新攻擊手法,打造強健的郵件安全防護網。

快速重點

  • 規模化:釣魚即服務(PhaaS)與 AI 工具降低門檻、攻擊量上升。
  • 繞 MFA:AiTM、OAuth 同意釣魚成主流路徑。
  • 新載具:QR Code 釣魚(Quishing)在 2025 明顯攀升。
  • 老問題未解:BEC 仍是金額損失最大的郵件詐騙之一。
  • 產業熱點:金融、支付等仍是首要目標。

▌2025 10大郵件詐騙手法

一、釣魚即服務(PhaaS)與「犯罪行銷自動化」

訂閱式釣魚套件與雲端托管平台讓低技術門檻攻擊者也能大規模投放郵件,常附模板、假登入頁、反偵測與報表。企業將面臨更大量、文案更擬真的釣魚。

防禦要點:郵件安全閘道(SEG)與 URL 重寫、附件沙箱;封鎖已知惡意套件指紋;對高風險流程(匯款、供應商變更)建立額外離帶驗證。

二、AiTM(Adversary-in-the-Middle)釣魚套件:繞過 MFA 的主力

攻擊者以反向代理攔截會話 Cookie,直接竊取已驗證的工作階段,使 MFA 失效。新一代套件更加入多種反偵測技術。

防禦要點:條件式存取、設備結合(phishing-resistant MFA)(如 FIDO2/Passkeys)、會話保護/再驗證、風險式登入偵測。

三、OAuth「同意釣魚」與 App 冒名

攻擊不再只騙密碼;假冒第三方 OAuth App引導使用者點擊「同意」,拿到長效權杖存取郵件與雲端檔案,避開傳統密碼/登入稽核。

防禦要點:限制第三方 App 同意範圍與發佈者、對高風險權限採審核;定期盤點已授權 OAuth App 與可疑權杖。

四、QR Code 釣魚(Quishing)暴增

在信中嵌 QR 圖或引導掃碼,躲過部分文字/URL 偵測;也常與實體投放(海報、傳單)結合。

防禦要點:行動裝置瀏覽器/MDM 政策、URL 展開與重導向還原、掃碼前域名驗證教育。

五、BEC(商務郵件入侵)繼續「最賺」

冒充高管/供應商,要求改匯款、更新帳務資訊仍是高額詐騙的核心;流程薄弱點(對帳、請款、換帳號)是命中關鍵。

防禦要點:兩人覆核與離帶驗證(電話/視訊二次確認)、供應商名單與收款帳戶變更冷卻期。

六、惡意附件與「雲端誘導頁」更擬真

熱門誘餌仍圍繞 DocuSign/PayPal/Microsoft/Google Drive/Salesforce 等品牌通知;攻擊常以 HTML 附件或「查看文件」導向假登入頁。

防禦要點:附件沙箱、禁用瀏覽器自動開啟資料、郵件用戶端禁用 HTML 自動載入外部資源。

七、AI 生成釣魚:量產、高擬真、多語系

攻擊內容以 AI 量產,支援 A/B 測試與社工語氣優化,降低文字線索可辨識度。

防禦要點:內容/語氣檢測不再可靠,需回到來源驗證(SPF/DKIM/DMARC)與流程防呆。

八、會話劫持/回覆鏈釣魚(Conversation/Thread Hijacking)

攻擊者先入侵或偽造某方帳號,直接在既有郵件對話串中回覆,夾帶惡意連結或假文件;因為信在同一串且看似熟悉,成功率非常高。
常見線索:突然改用外部網域、附件改成 .html / .htm、催促「今天內處理」。
變體:搭配 BEC 要求更改匯款、要求重新登入分享檔案。

防禦要點:在熟悉對話串也要重新看寄件網域與連結;只要牽涉改匯款/改帳號,一律離帶驗證 (Out-of-Band Verification),不要在同一封信或同一通訊管道回覆,改以另一個已知且可信的管道去確認。管理端落地:抗釣魚 MFA+監看轉寄規則+外部寄件標記+DMARC。

九、HTML Smuggling/HTML 附件下載誘導

以 .html 附件或內嵌 JavaScript 於郵件中,在瀏覽器端組裝惡意檔案(繞過傳統閘道對附檔的掃描),常與「查看文件/授權檔案」社工語句一起出現。
常見線索:附件明明是「文件通知」,卻是 .html;打開後先跳轉到「登入頁」或「需要啟用內容」。

防禦要點:.html/.htm 附件一律視為高風險,文件改從原系統書籤登入下載。管理端落地:封鎖或淨化 HTML 附件+URL 即時分析/沙箱+限制 mshta/WScript 等 LOLBins。

十、檔期與社會工程主題仍有效;受攻擊產業以金融/支付最熱

報稅、快遞/清關、年終促銷與帳單到期等主題年年中招,且常與行動端情境綁定。
金融/支付、電商與供應鏈流程(對帳、發票、退款、PO)最易被鎖定,常與 BEC/假通知信 組合出手。

防禦要點:企業單位對內部可採持續性資安意識宣導與內部資安意識測驗,資安官定期(或不定期)分享資安事件,讓全體同仁主動接收相關資訊,逐步提升資安素養。檔期前 2 週內部預警+檔期後 輕量演練;追蹤回報釣魚率與誤報率。

▌2025 詐騙郵件防禦清單

A. 身分與會話安全-先把帳號與工作階段鎖好,再談內容偵測

  • 啟用抗釣魚 MFA(FIDO2/Passkeys),停用舊式協定(IMAP/POP/SMTP Auth)。
  • 風險式登入與會話保護:異常地理/不可能移動自動二次驗證;疑似入侵時撤銷所有工作階段。
  • OAuth 與第三方 App 治理:白名單、最小權限、定期盤點與撤銷高風險授權。

B. 郵件內容與傳輸安全-寄件端認證+收件端檢查,雙向築底

  • 郵件認證完整到位:SPF、DKIM、DMARC 由 p=none → quarantine → reject。
  • SEG/閘道與「點擊即時」分析:URL 重寫+即時檢查、附件沙箱、惡意回傳阻斷。
  • HTML Smuggling 政策:.html / .htm 預設阻擋或淨化;瀏覽器禁自動開啟下載;限制 mshta/WScript 等 LOLBins。
  • Quishing(QR 釣魚):URL 展開與重導向還原;行動端策略(MDM、瀏覽器安全檢查)。

C. 流程與治理(對 BEC/供應商詐騙)-金流與主檔異動靠流程防呆把關

  • 會話劫持/回覆鏈釣魚 防呆:外部寄件標記、轉寄規則監看;金流/主檔異動一律離帶驗證。
  • 金流流程:匯款/帳戶變更 雙人覆核+≥24h 冷卻期;供應商名單管制與軌跡留存。
  • 檔期與社工主題預警:報稅/快遞/年終前 2 週預警;檔期前後小型演練。

D. 教育、演練與反應-小步快跑、即時應對

  • 新人訓+季度簡訓納入:回報釣魚/標示垃圾、檢視原始郵件/郵件標頭、辨識警示橫幅。
  • 建立企業資安回報窗口,即時應對,最大幅度減少災害擴大。

▌Cloudmax 郵件安全與反詐騙「落地清單」

1. 郵件認證與品牌保護

  • DMARC 代管(監測→隔離→拒收分階段上線)
  • SPF/DKIM 建置與健檢(含多供應商整合、10 查詢限制排雷)
  • BIMI 啟用(Logo/證書檢核、Mailbox 支援度評估)

2. 平台強化

  • 外部提示:外部寄件標記、相似/新註冊網域提醒
  • 連結/附件防護:即時檢查(time-of-click)、高風險副檔名阻擋
  • HTML Smuggling:.html/.htm 阻擋或淨化、瀏覽器禁自動開啟
  • 身分與會話:抗釣魚 MFA、停用舊式協定、異常登入告警
  • 郵件認證:SPF/DKIM 完成、DMARC 分階段(none→quarantine→reject)
  • OAuth 治理:第三方 App 白名單、權限審核、權杖定期撤銷
  • 管理可觀測性:轉寄/刪除規則監看、外送轉寄與大量退信告警
  • 行動與 QR:短網址展開、QR 連結檢查、裝置基線(密碼/更新)   

3. 閘道與檔案安全

  • SEG 導入與調校(惡意 URL 重寫、沙箱、DLP 規則)
  • URL 展開 & 重導向還原(含 QR 圖片偵測策略)

4. 流程與組織

  • BEC 防呆顧問:離帶驗證、雙人覆核、冷卻期與變更稽核
  • 情境式資安宣導與演練:季節與產業題庫,站內閱讀式
  • 事故通報與回應:30 分鐘內隔離/封鎖/通報 SOP 建立

5. 監控與代管

  • MDR 24×7 監控(郵件威脅、身分/OAuth、端點/雲端整合告警)
  • 例行稽核報表:DMARC 對齊、投遞可達率、黑名單(RBL)與寄送規範建議

郵件詐騙手法日益翻新,從技術繞過多重驗證到社工話術多變,企業必須持續強化身份安全、郵件認證與流程管理,並保持員工的資安意識。建議採取多層次防禦措施,包含抗釣魚MFA、嚴格OAuth治理、持續演練與即時監控,才能有效降低風險。匯智 Cloudmax 提供一站式郵件安全解決方案,助您從技術到管理全方位防護,守護企業數位資產安全。

加入匯智官方 LINE (https://line.me/R/ti/p/@cloudmax),Cloudmax 匯智協助您強化企業郵件安全,築起詐騙郵件防禦網!

資訊補充

1. 2025年郵件詐騙有哪些最新趨勢?

2025年郵件詐騙呈現高擬真與規模化特點,釣魚即服務(PhaaS)和AI生成詐騙內容讓攻擊門檻大幅降低。新型攻擊手法如AiTM(對手中間人攻擊)、OAuth同意釣魚、QR Code釣魚(Quishing)明顯升溫,BEC依然是財損最嚴重的詐騙手法。企業須從技術與流程雙管齊下強化防禦。

2. 什麼是AiTM釣魚攻擊?如何防範?

AiTM(Adversary-in-the-Middle)釣魚攻擊透過反向代理攔截用戶會話,繞過多重驗證(MFA),攻擊者能直接存取驗證後的工作階段。防護重點包括啟用強抗釣魚MFA(如FIDO2/Passkeys)、採用條件式存取策略、加強會話保護與多重驗證機制。

3. OAuth 同意釣魚是什麼?企業應如何防禦?

OAuth同意釣魚攻擊是假冒第三方應用,誘導使用者授權惡意應用訪問郵件與雲端資源,繞過傳統密碼保護。企業應限制第三方App權限與發佈者、審核高風險許可、定期盤點並撤銷可疑OAuth授權。

4. QR Code釣魚(Quishing)有哪些特徵?

QR Code釣魚常在郵件或實體廣告中引導掃碼,利用部分檢測工具無法偵測QR碼內惡意連結的漏洞,促使用戶訪問假冒網站。防護建議包括行動裝置瀏覽器安全設定、掃碼前進行域名驗證與教育使用者警覺可疑QR碼。

5. BEC(商務郵件入侵)詐騙如何防範?

BEC詐騙多冒充高管或供應商,要求匯款或更新帳務資訊。防範要採取雙人覆核、離帶驗證(電話或視訊二次確認)及供應商帳戶變更設置冷卻期等流程管控,確保金流安全。

6. 什麼是 SPF、DKIM 和 DMARC?它們在郵件安全中的作用?

SPF、DKIM 與 DMARC 是郵件認證技術,分別負責確認寄件伺服器合法性、郵件內容完整性和策略落地,能有效阻隔偽造郵件與釣魚郵件,強化郵件送達信任度,是企業郵件安全防護的重要基礎。

歡迎轉載!請見:轉載原則

Image by AI-generated via Google Gemini / DALL·E