Top 2 - 離線釣魚 ( Offline Phishing )，繞過上網安全軟體與瀏覽器的釣魚防護
駭客將釣魚網頁以 .html 或 .mht 附檔的型式，透過電子郵件遞送給使用者，將釣魚網頁直接呈現在受害者的本地端電腦。當使用者上勾填入敏感資料時，便以Post 方法將資料傳送出去。因為傳送Post 到外部的行為不會受到瀏覽器URL檢測的保護阻擋，可成功繞過瀏覽器及部份上網安全軟體的釣魚防護，增加駭客釣魚成功的機會，榮登駭客愛用榜第二名。

Top 3 - VBA攻擊，自動判定作業系統以決定接下來的攻擊手法
駭客在 Word 中置入惡意VBA，透過偽裝為收據、發票、教學文件等電子郵件發送，當使用者受騙開啟附檔時，還會指導受害者開啟「啟用內容」按鈕。並且可以自動判定所使用的作業系統環境為Windows或是Mac OS X 再決定接下來要下載的攻擊工具。還以為使用Mac就不會中毒嗎？當MacOS用戶變多後，Mac就與Windows一樣，是符合經濟效益的攻擊標的！這個攻擊與本文第一名的攻擊工具同樣都是針對微軟Office進行攻擊，不過在檔案開啟後還需要使用者再次配合按下啟用內容，名列駭客愛用榜第三名。

雖然最常用的攻擊工具可歸納為上述三種，然而駭客搭配運用的社交工程手法千變萬化，瞄準人性弱點透過各種佯裝與欺騙技倆，誘導使用者配合執行動作或提供帳號密碼及其他機敏資料。
中華數位科技提醒，只要使用者能夠把握幾個原則，便能避免郵件攻擊帶來的傷害：
1. 保持系統與軟體的更新
2. 不開啟來路不明的附檔
3. 面對來信要求填寫機敏資料、要求登入認證的郵件時，應保持高度懷疑的心態。
此外，光是要求使用者提升安全意識是不夠的，企業也應當提供使用者較安全的電子郵件使用環境，以降低被駭風險。中華數位科技 SPAM SQR 掛載 ADM 進階威脅防禦機制，可有效防禦各式釣魚與惡意威脅郵件。

關於SPAM SQR 與ADM 進階防禦機制
中華數位 SPAM SQR內建多種引擎（惡意檔案分析引擎、威脅感知引擎、智能詐騙引擎）、惡意網址資料庫，並可整合防毒與動態沙箱等機制，以多層式的運行過濾方式，對抗惡意威脅郵件的入侵。
SPAM SQR 的 ADM ( Advanced Defense Module ) 進階防禦機制，可防禦魚叉式攻擊、APT 等新型進階攻擊手法郵件。研究團隊經長時間的追蹤駭客攻擊行為，模擬產出靜態特徵。程式自動解封裝檔案進行掃描，可發掘潛在代碼、隱藏的邏輯路徑及反組譯程式碼，以利進行進階惡意程式分析比對。可提高攔截夾帶零時差 (Zero-day) 惡意程式、APT 攻擊工具及含有文件漏洞的攻擊附件等攻擊手法郵件的能力。
關於 ASRC 垃圾訊息研究中心
ASRC 垃圾訊息研究中心 (Asia Spam-message Research Center)，長期與中華數位科技合作，致力於全球垃圾郵件、惡意郵件、網路攻擊事件等相關研究事宜，並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式，促成產官學界共同致力於淨化網際網路之電子郵件使用環境。更多資訊請參考 www.asrc-global.com 。

- 新聞稿有效日期，至2019/01/23為止

上一篇：共享經濟國際集團呈獻「共享羅斯柴爾德音樂與美酒」環保慈善音樂會
下一篇：【資策會】行動應用程式UX/UI設計實務班(台北3/11)