假冒健保局、偽造 PXpay 通知：ASRC 揭台灣成郵件社交工程精準攻擊目標

ASRC 研究中心與中華數位科技發布 2025 年郵件威脅分析報告，針對全年度約 40 億封郵件流進行監測，發現超過六成攻擊採用身分偽冒（Spoofing）與變臉詐騙（BEC）手法。報告特別示警，攻擊者已針對台灣使用者的生活習慣、常用服務與法律恐懼，發展出高度「在地化」的社交工程攻擊劇本，傳統黑白名單防禦機制正面臨失效危機。

公部門與生活服務成偽冒首選目標

報告指出，2025 年台灣郵件威脅呈現兩大核心特徵：「合法服務武器化」與「社交工程在地化」。攻擊者不再使用通用化詐騙劇本，而是深入研究台灣民眾的日常生活情境。

公部門偽冒是最常見手法，攻擊者假冒健保局、國稅局發送通知，或偽造法院傳票，利用民眾對公權力的敬畏心理誘騙點擊。針對台灣本土支付工具的攻擊也顯著增加，例如偽造 PXpay 等行動支付平台的「資料確認」通知竊取憑證。

跨平台引流詐騙鎖定企業財務人員

報告揭露一種精密的企業攻擊模式：跨平台引流詐騙。攻擊者使用 Gmail、Hotmail 等免費信箱發送不含惡意連結的誘餌郵件，將受害者引導至封閉 LINE 群組，再針對財務人員發動社交工程攻擊。發送者經常偽裝成公開可查的企業負責人或高階主管，藉由威權壓力提高詐騙成功率。

另一值得關注的手法是高仿真「侵權警告」攻擊。攻擊者寄送內容詳盡的版權侵害通知，舉證歷歷但發信源多為免費信箱，精準利用受害者害怕法律糾紛的心理。

合法服務遭武器化繞過資安閘道

技術層面上，攻擊者透過「寄生」合法網路基礎設施，使惡意郵件呈現無害假象。具體手法包括：濫用遭駭企業帳號發送含 SafeLinks 改寫連結的郵件，讓使用者誤以為已經過安全掃描；利用知名網站的開放轉址漏洞導向釣魚頁面；以及入侵維護不善的網站植入惡意頁面，藉由良好網域信譽繞過攔截。

報告也追蹤 ClickFix 攻擊手法的演變。年末出現的新變種改以 HTML 附件發動，受害者開啟檔案時會看到假的 Google reCAPTCHA 畫面，惡意程式碼已透過 document.execCommand 寫入剪貼簿，再誘導使用者於 Windows「執行」功能中貼上執行。

2026 年威脅預測

展望 2026 年，ASRC 預測 AI 驅動的「超仿真」社交工程將成主流，攻擊者可結合深偽（Deepfake）語音與視訊形成多模態攻擊。QR Code 釣魚預期將常態化，透過 PDF 附件夾帶惡意 QR Code 迫使使用者改用防護較弱的手機存取。供應鏈攻擊也將深化，攻擊者潛伏於供應商郵件系統，等待關鍵時刻發動回信攻擊。

面對日益精密的在地化攻擊，企業應重新檢視郵件安全策略，強化員工資安意識訓練，並建立社交工程攻擊的通報與應變機制。