在ASRC 2025年全年度監測約40億封郵件流中，以偽造攻擊（Forgery）為主流，超過六成的攻擊透過偽冒身分（Spoofing）、變臉詐騙（BEC）來欺騙收件人，其中有不少透過註冊與知名公司相似的網域來發送釣魚信。而在郵件中，試圖以文件夾帶的方式進行宣傳或規避偵測的部分，以PDF格式成長最顯著；在惡意附檔攔截統計中，Office文件格式仍為最主要的利用對象。
除此之外，回顧2025年，電子郵件資安攻防戰大規模利用「合法服務」與「心理操弄」。傳統的資安邊界，以區分黑名單與白名單的機制，正面臨失效。

合法服務武器化
攻擊者透過「寄生」於合法的網路基礎設施，使惡意郵件在外觀與技術指標上呈現「無害」的假象，藉此繞過資安閘道器。
1. 濫用「連結置換（URL Rewriting）」防護機制：攻擊者利用遭駭的企業帳號發信，其內含的惡意連結已被微軟或資安廠商的防護機制改寫（如Safelinks）。使用者看到連結帶有資安廠商網域，誤以為經過掃描確認安全，反而降低戒心。
2. 短網址與開放轉址（Open Redirect）：利用知名網站未修補的轉址漏洞（如legitimate.com/redirect?url=evil.com），讓郵件過濾器誤判為合法網站，實則將使用者導向釣魚頁面。
3. 合法網站淪為跳板：攻擊者入侵維護不善的WordPress等合法網站植入惡意頁面。由於這些網站域名信譽（Domain Reputation）良好，極難被攔截。

社交工程在地化與精細化
攻擊劇本不再通用化，而是針對台灣使用者的生活習慣、常用軟體與法律恐懼進行高度客製化。
1. 跨平台引流詐騙：攻擊者多半利用Gmail、mail.ru、AOL、Hotmail、Yahoo等免費信箱寄送郵件。郵件僅作為誘餌，郵件中不含惡意連結或附件，因此不易被資安防護設備檢出，目的是將受害者都引導至封閉的LINE群組，後續的社交工程攻擊對象皆瞄準群組內的財務人員。此類詐騙發送者經常偽裝成公開可查的企業負責人、高階主管，藉此提高信任感與威權壓力。
2. 權威機構與生活服務偽冒：在公部門方面，假冒健保局、國稅局或法院傳票，利用民眾對公權力的敬畏；而生活應用上，則針對PX Pay等在地支付工具，發送「資料確認」通知竊取憑證。
3. 高度仿真的「侵權警告」：攻擊者寄送內容詳盡的版權侵害通知，雖舉證歷歷但發信源多為Gmail等免費信箱。此手法利用受害者害怕法律糾紛的心理，誘騙點擊連結。
4. ClickFix手法的技術演變：2025年年初，透過郵件的ClickFix主要於郵件內容中誘導使用者手動「複製貼上」PowerShell指令。
2025年年末，還發現另一種特殊的ClickFix攻擊。ClickFix整體改用HTML附件的方式寄送ClickFix攻擊
其特殊之處在於受害者打開HTML檔時，瀏覽器會先出現一個Google reCAPTCHA的假驗證畫面，實際上並沒有任何驗證功能
事實上，受害者打開這個惡意的HTML檔時，就已經被寫在其中的document.execCommand ('copy');強制將惡意代碼寫入受害者電腦的剪貼簿中，接下來會要求受害者以〔Win〕+〔R〕呼叫出Windows的「執行」功能，再令其以〔Ctrl〕+〔V〕貼上剪貼簿中的惡意程式碼並按下〔Enter〕執行。主要的惡意程式碼及惡意程式的下載連結，皆以Base64編碼增加偵測的難度

防禦的核心困境

「人」是最後，也是最脆弱的防線，儘管SPF、DKIM、DMARC等技術層面的郵件驗證機制已相當普及，有效地墊高攻擊門檻，卻也迫使攻擊者將目標轉向「人的認知」。未來的防禦重點已無法單純依賴攔截技術，而必須著重於提升使用者的識別能力。 然而，我們正面臨一個嚴峻的「教育困境」：過去教導使用者識別安全的特徵，如「檢查網址」、「確認HTTPS鎖頭圖示」或「依賴防毒掃描結果」，如今卻反被攻擊者利用。攻擊者透過合法服務與加密憑證，讓惡意郵件具備了所有「被教導過」的安全特徵。因此，使用者必須重建思維，從「信任合法特徵」轉向建立「零信任（Zero Trust）」的數位習慣。

資料來源：網管人