市場趨勢
釣魚郵件不再有錯時,該如何判斷?
釣魚攻擊新趨勢:還在從錯誤內容辨識釣魚郵件嗎?
報告類型
發布日期
2026/05/28
長久以來,企業防範釣魚郵件(Phishing)的核心策略,多建立在「找出錯誤」之上,例如拼字或語法錯誤、寄件者不可信、連結看起來可疑。然而,這樣的判斷模式正在迅速失效,在生成式 AI(GenAI)盛行下,駭客已能高度擬真地複製企業真實溝通情境,語氣自然、內容合理,甚至完全符合內部流程與用語。事實上,FBI最新調查發現生成式AI正在助長詐騙,攻擊者藉此模擬企業高階主管語氣,發送高度擬真的匯款或授權請求,僅 AI 相關詐騙案件就已達 2.2 萬件,造成約 8.9 億美元損失。當攻擊不再暴露明顯破綻,僅要求使用者提高警覺,已不足以成為有效的防禦策略。
當釣魚郵件不再有錯,風險真正藏在哪裡?
現代郵件攻擊的重點,已從誘使使用者「點擊惡意連結」,轉向引導其「做出看似正確、但不應在當下發生的行為」,例如核准付款、同意權限申請、變更帳務資料,或完成 MFA 驗證。這類攻擊並非利用系統漏洞,它考驗的是人如何建立信任、流程如何給予授權,以及組織在壓力下如何做出決策。駭客的目標不再只是誘導點擊惡意連結,而是直接取得授權。換言之,真正的風險不在於使用者是否能辨識錯誤,而在於:當郵件內容看起來完全正確時,組織是否仍具備機制辨識其中的異常。
近年來,許多企業在數位轉型中追求流程極致流暢,然而這本身即是一種風險。當內部流程設計過於順暢、缺乏必要的確認機制時,高風險操作可能在幾乎無阻力的情況下完成,使攻擊者得以直接穿透郵件防線,進入核心業務流程。
從防止錯誤,到管理風險情境
對資安團隊而言,防範釣魚攻擊的思維必須同步轉型——從「避免做錯事」,進化為「在看似正確的內容中辨識異常」。這代表防護重心不再僅限於郵件閘道或使用者警覺性,而是需要整合身分、行為與情境的判斷能力,並在關鍵授權與高風險流程中導入「適當的摩擦(Right Friction)」。
成熟的郵件安全與社交工程防護,不是讓所有流程一味加速,而是在不應過於順暢的時刻,提供必要的驗證、提醒與情境判斷,避免授權與關鍵決策在壓力或誤判下發生,例如針對異常授權請求或匯款帳戶變更等情境進行額外驗證。唯有如此,企業才能在高度擬真的攻擊環境中,真正守住人與流程這道最後防線。
我想了解......
我想了解......
你可能有興趣...
