2025年,郵件安全趨勢強調更嚴格的身份驗證要求。Gmail 和 Yahoo 等主要郵件服務提供商除了持續推動 SPF、DKIM 和 DMARC 等認證協議的採用,也逐步將目標指向 DMARC 的 preject的郵件政策,以防止域名被冒用。發送來源的驗證與檢測,也逐漸由 IP 信譽轉為域名信譽。一月底揭露的 7-Zip 軟體重大安全漏洞(CVE-2025-0411),已被俄羅斯網路犯罪者用於攻擊烏克蘭。透過電子郵件夾帶惡意附件,並利用該漏洞,即可繞過 Windows 系統的MotW(Mark of the Web)安全機制,受害者可能受騙而在電腦上執行外來惡意程式,最終導致資料外洩或電腦遭控制。除須提防可疑郵件外,建議盡快將 7-Zip 更新至最新版本,以修補該漏洞。此外,CVE-2025-21298 也值得注意,這是一個影響 Microsoft Office 和 Windows 作業系統的嚴重漏洞,特別涉及 OLE(物件連結與嵌入)技術。攻擊者可以利用這個漏洞,透過精心設計的文件,在未經使用者同意的情況下執行任意程式碼;雖然目前公開資料未明確記載 CVE-2025-21298 透過電子郵件攻擊的實際案例,但根據漏洞特性與歷史攻擊模式,此漏洞極可能被用於以下攻擊場景: .惡意附件攻擊:攻擊者偽造電子郵件並附加特製的 .rtf 檔案,誘使用戶開啟後觸發漏洞。 .社交工程結合漏洞利用:以稅務通知、帳單等名義發送釣魚郵件,提高用戶開啟惡意文件(可能透過Web下載)的意願。
以下是 ASRC 觀察本季值得留意的郵件樣本:
1. 壓縮檔夾帶 .VHD檔的攻擊 第一季,我們發現一些電子郵件攻擊,其中的附件檔以.zip的方式包裝 .VHD 檔案。.VHD 檔案可被 Windows 作業系統視為虛擬硬碟,當收件者打開這些檔案時,系統會將其掛載為新的硬碟驅動器。在這個攻擊郵件中,寄件者的位置被填了兩次電子郵件地址,試圖讓收件者誤以為這是由第一個地址所發送的郵件,為了躲避對於寄件者位置的電子郵件檢查,攻擊者細心的將第一個地址中的 @ 改為視覺上相近的符號。 若將 .VHD 檔展開,會看到完整的虛擬硬碟結構,其中 .exe 檔即為惡意攻擊程式的本體,不會被 Windows 系統識別為 MotW(Mark of the Web)。而這個攻擊程式的圖示,刻意被換為Excel的圖示,藉以誘騙受害人執行。當惡意程式被執行時,便開始在系統植入後門。 若企業日常作業不會透過電子郵件直接傳送 .VHD 檔,建議可以直接在郵件安全掃描或過濾機制中,直接封鎖帶有此類檔案的電子郵件。同樣企業較少透過 郵件傳送但常被用來攻擊的 .ISO、.IMG 也可以考慮一併隔離。
2. 社交工程手法誘騙 一直以來,透過社交工程手法誘騙受害者配合執行某些操作,是詐騙、釣魚慣用且成功率極高的手法。第一季,我們觀察到幾起以假亂真的惡意電子郵件,郵件本身不夾帶惡意檔案,而是以社交工程手法誘騙,要求受害者點擊並下載「加密」的惡意或後門程式。由於惡意程式經過加密,可以輕鬆躲過檔案下載的安全性稽核、瀏覽器及 Windows 針對 Web 下載檔案的 MotW 防護措施,這些惡意檔案也能躲過部分防毒軟體的檢查。同樣的社交工程手法,也可能搭配要求帳密登入確認 (用以騙取帳密);或是要求輸入信用卡相關資料做認證、支付運費、規費等動作,都需要特別留心防範!
上一篇:亞洲金融界領航者 陳道銘:FinTech、量化交易與區塊鏈的未來趨勢
下一篇:心星向善打造溫暖導向的影響力投資新典範
