Proofpoint 講師郭仕杰以「超越過濾:AI 時代下郵件防禦新視角」為題,說明在攻擊高度自動化的當下,企業的電子郵件防禦如何從傳統過濾,走向結合威脅情資、 AI 分析與使用者教育的綜合防護。
一封信開始的殘酷現實,攻擊成本趨近於零
郭仕杰指出,綜觀過去一整年的攻擊,有 90% 的攻擊面向並非直接針對企業系統,而是從一封電子郵件開始;當攻擊邁向完全自動化,攻擊者成本驟降 95%,成功比例也隨之大幅提升,客製化的商務電郵詐騙(BEC)更遽增 70% 。
他說明,駭客第一個鎖定的對象往往不是企業本身,而是其供應鏈。例如在兩個單位往來採購訂單時,在最後一刻以「PO 單有些微調整,麻煩協助確認」為由介入,半導體產業因此成為重災區。攻擊者也運用 AI 的檢索與快速產生釣魚內容,讓收件者在快速審閱時誤入歧途;甚至把原本以圖片呈現的 QR Code 改用 HTML 表格繪製,人眼看起來相同,機器卻難以辨識,藉此規避影像偵測。
從包裹通知到帳號劫持的在地化攻擊
駭客假冒台大學生,以求職履歷為誘餌鎖定供應鏈廠商,應徵信夾帶密碼保護壓縮檔,誘導開啟後即植入遠端存取木馬。
駭客假冒中華郵政包裹通知,導向偽冒銀行付款頁面,以急迫感誘騙刷卡;3 月 7 至 9 日共攔截 1,158 封,防禦率達 100%。
郭仕杰分享,這些威脅其實離企業並不遠。在一起當地案例中,駭客假冒中華郵政的包裹通知,導向假冒銀行的信用卡付款頁面,並以急迫性提升可信度;頁面上顯示的金額僅 52.76 元,看似損害輕微,實際上可能拿掉小數點變成 5,276 元,或將幣別由新台幣改為美金、歐元,對企業造成嚴重損失。光是 2025 年 3 月 7 日至 9 日,這類攻擊的總攔截量就達 1,158 封,Proofpoint 的攔截防禦率為 100% 。
他同時提到,駭客也會繞道而行,例如到暗網購買台灣學生的電子郵件帳號密碼,這些多半是學生以校園帳號註冊論壇等服務後遭外洩的資料;或以求職誘餌鎖定供應鏈廠商,附件常夾帶遠端存取木馬。另一種手法是雲端帳號劫持,郵件夾帶.eml 附件,透過多層混淆與社交工程偽造微軟登入頁面,試圖取得登入授權 Token,藉以突破多因子驗證(MFA)防線。
多重引擎偵測,並把人視為端點
Proofpoint 以 Nexus 系列分預先掃描、後續追蹤、點擊時防護三階段,整合威脅情資、機器學習、電腦視覺與語言模型布建防線。
在防禦上,郭仕杰表示,從 DDoS 、商務電郵詐騙、 URL 檢查到附件檢查都是基本配備,核心關鍵在於綜合的攻擊向量判斷:把郵件打開後,先以電腦視覺分析,再以人眼角度確認是否異常,並在語言模型上投入大量心力。其 Nexus 系列以威脅情資、機器學習、電腦視覺與語言模型,分別在預先掃描、後續追蹤與點選時防護等階段運作;Supernova 分析引擎則結合二十多年的機器學習經驗,從資訊分析、寄件者分析、 AI 深度內容分析、關係圖譜到詐騙標籤化等面向,動態偵測商務電郵詐騙。系統並以加權指數動態評分,將攻擊角色、目標型態與攻擊型態量化為威脅指數,例如民族與國家型組織針對外交與非政府機關、且夾帶遠端存取木馬的郵件可達 960 分,而廣泛發送的輕微型憑證釣魚僅 50 分(滿分 1000 分)。
郭仕杰說明,Proofpoint 也推出資安意識培訓工具 ZenGuide,依循 ACE 框架,從評估、改變行為到成效評估,把「人」也視為一個端點。它提供超過 2000 種真實情境的模擬釣魚範本與 5 分鐘的匿名資安文化評估,並以低於 3 分鐘的微學習單元降低學習負擔,再依角色與分級調整難度與主題;今年度也新增 LINE 等貼近本地使用情境的內容,讓學習成效能持續被衡量。
郭仕杰強調,當攻擊成本趨近於零、防禦壓力呈指數成長,電子郵件防禦必須超越單純過濾,結合多重引擎的偵測與持續的使用者教育,把每一位員工的認知一併納入防線,才能在第一時間阻擋威脅。
更多會後報導
活動精彩回顧