Proofpoint 2025 Human Factor 報告摘要：社交工程 & 釣魚與惡意連結攻擊

在多數網路攻擊中，「人」始終是首要目標。駭客最危險的武器，往往不是惡意程式或複雜技術，而是透過假冒身份、看似無害的互動或誘騙連結等社交工程手法，營造出恐懼、焦躁或緊迫等情緒，使受害者做出對攻擊者有利的行動，如點擊連結、下載檔案或回應請求。在特定情境下，社交工程甚至比技術性攻擊更具殺傷力。

雖然社交工程幾乎存在於所有攻擊中，但「純粹」社交工程並不如惡意連結攻擊普遍，URL 威脅仍是駭客最常用的策略。透過寄送精心設計的連結，誘導受害者落入釣魚、惡意程式或勒索軟體陷阱，以觸發更大規模的攻擊。隨著攻擊手法日益個人化且高度仿真，駭客會利用合法的檔案分享服務（如 Microsoft OneDrive）生成惡意連結，或透過 AI 技術建立幾可亂真的釣魚網站，大幅提升攻擊的隱蔽性與成功率。

許多詐騙與滲透行動，包括商務電子郵件詐騙（BEC）、電話導向攻擊（TOAD）、感情詐騙等，都以社交工程與惡意連結為核心，巧妙避開自動化偵測工具，並透過人際互動誘導受害者主動配合。

為協助企業應對這些針對「人」的攻擊，Proofpoint 陸續推出 Human Factor 報告 Vol.1 與 Vol.2，分別聚焦社交工程（Social Engineering）及釣魚與惡意連結攻擊（Phishing & URL），提供威脅趨勢、風險評估與防禦策略的關鍵洞察。報告內容以 Proofpoint Nexus® 威脅情資平台的數據為基礎，深入分析各種攻擊的規模與趨勢，協助企業掌握完整攻擊態勢，強化資安防禦佈局。

常見的社交工程類型

釣魚郵件與惡意連結威脅

以人為本的防護策略

在多數攻擊活動中，技術層面的複雜度往往不及人為因素來得關鍵。無論是仰賴社交工程的詐騙與商業郵件詐騙（BEC）、電話導向攻擊（TOAD），或是透過惡意連結展開的釣魚攻擊，攻擊者的目標始終都是：引誘受害者回應並進一步操控。因此，企業必須採取「以人為本」的整合性防禦策略。

● 掌握可視性

建立即時可視性，了解誰正在遭受攻擊、攻擊方式為何，以及用戶是否已開始互動。同時評估每位人員的個別風險，包括其存取權限與成為受害者的可能性。

● AI 驅動的偵測

面對持續演變的 BEC、TOAD 與釣魚威脅，導入能整合語言模型與行為分析的偵測平台，以識別出細微的異常情形，提前阻擋攻擊。

● 仿冒防護

全面防範網域仿冒、相似網域（Lookalike Domain）及供應商帳號遭入侵等風險，並具備下架惡意仿冒網域與封鎖冒名流量的能力，以確保供應鏈與商務往來的信任關係。

● 跨管道防護

惡意連結攻擊已不再侷限於電子郵件，可以透過簡訊、協作工具或社群平台、通訊軟體等各種管道。因此防禦策略必須涵蓋員工、客戶、合作夥伴與供應商，避免攻擊從任何一個管道滲透。

● 量身打造的資安意識訓練

提供依據最新威脅情資所設計的個人化訓練，並透過情境化警示與即時指引，協助用戶做出正確的安全決策。

● 自動化回應機制

建立威脅偵測、修復與回應的自動化流程，降低資安團隊負擔，並縮短事件處理時間。

Proofpoint 2025 Human Factor 報告：
vol. 1 社交工程 & vol. 2 釣魚與惡意連結攻擊

網路攻擊的核心始終圍繞著「人」。攻擊者以人為目標、利用人性弱點，而他們本身也同樣是人。因此，Proofpoint《2025 Human Factor》報告聚焦於技術與心理學如何交織，使人更容易成為現代網路威脅的受害者。

Vol.1 深入探討現今社交工程的攻擊手法，例如商業電子郵件詐騙（BEC）與釣魚攻擊，強調操縱人心如何比技術更具威脅。Vol.2 則將焦點放在惡意連結相關的釣魚攻擊，剖析攻擊者如何透過連結傳遞惡意內容，進而引發更大規模的入侵與控制。