2025/12/3我收到二封電子郵件,裡面的訊息看似簡單,基於將近25年在資訊安全領域服務經驗,這二封電子郵件呈現的社交工程攻擊的意涵,不應被忽視。
同一時間,有多個不同機關(構)人員也收到類似的郵件,所以本週的資訊安全週報,特別針對這封社交工程攻擊郵件,進行資料整理與研究,提供組織強化社交工程攻擊訓練之參考。
邀請建立Line群組,再以QR Code邀請加入
下圖上半部是二封社交工程攻擊的電子郵件的寄件者和標題,開啟信件查看內容(要注意開啟信件的潛在風險),雖然寄件者和描述不同,不過攻擊手法相近。
上圖下半部是其中一封電子郵件的內容,從這二封電子郵件中挑選其中一個的網際網路標題,進行研究。從以下畫面呈現的數據觀察,網際網路標題的內容,應該包含有限的訊息。
當我把這一封郵件的網際網路標題拷貝轉貼到週報時,發現他的訊息量將近6,500個英文字母,與眼睛所見不同。也就是簡單查閱所看到的「網際網路標題」其實不是完整 Header,而是「被郵件客戶端摺疊、解碼、隱藏後的顯示版本」;當我們拷貝貼上網際網路標題時,則是完整的「RFC 標準下的原始 Header 原文(Raw Header)」。
信件的網際網路標題
X-TRACE-MSG-ID: S_692FA95D0005E6E2796E03B87FFD000170CA7FFD00009E24
Received: from 52.103.10.54
by vs7.mailcloud.com.tw with Mail2000 ESMTP Server V8.00(94410:1:AUTH_NONE)
(envelope-from <Moakley1969Rhea323@outlook.com>); Wed, 03 Dec 2025 11:07:09 +0800 (CST)
Return-Path: <Moakley1969Rhea323@outlook.com>
X-M2K-MSG-ID: 692FA95DA2CA0E96
X-ADIFSPAM: NO/0
X-ADIFSPAM-SAS: NO/8
Received: from 52.103.10.54
by ms6.mailcloud.com.tw with Mail2000 ESMTP Server V6.00(40020:3:AUTH_NONE)
(envelope-from <Moakley1969Rhea323@outlook.com>); Wed, 03 Dec 2025 11:06:58 +0800 (CST)
Return-Path: <Moakley1969Rhea323@outlook.com>
X-M2K-MSG-ID: GAAVIK2E3QC1O3EF
ARC-Seal: i=1; a=rsa-sha256; s=arcselector10001; d=microsoft.com; cv=none;
b=ftGAA9kdiUE03iED3qBP4xn9IgW1tS70quzMDtSGl5zZP9ifsWiTUt8TxCwaO2tIo653ONNXiK5PJw3oy4oMuhGsTLUnwqDCdXwouGN4GjB38Ox8sysaEZH9I40ajCS5QxxZ+f00bgN2Ms4y1edd0GZHbcCYAvqBbHQYfpDVVJba0GBTgEPXeSop2rFqjl0+wb90cCbSUyzouQ/IB4pbyaS7fR+mOC1FtxmEunrPZc40n/TMq50gJHnPsj6nRshgYsDTGteq8kAQvU4Wy1XKnWKmpWKsZzzK4F3XMSLQLW1AG3b76u/D2WP9NrbO1eOcreA54aLGUs73UlbOqmzwow==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=microsoft.com;
s=arcselector10001;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-AntiSpam-MessageData-ChunkCount:X-MS-Exchange-AntiSpam-MessageData-0:X-MS-Exchange-AntiSpam-MessageData-1;
bh=O9bu/1c/gI1tlnposm+orK/Idej30pLcyJmtNqLWca4=;
b=dTwfHASq+HXV7CWdML+B0cCcrk+oPBUOxK6WHIXrYSgfbpYk2p3/p5ugiQgRulGP7agqESkqreuy7OPzu+B7eQ2Rd84RIFnPGuUc5U5wQJWATKz/wMMY+Af0HBcuaU60HpRmcsCibS8i4G+9J15XWIIx1s/6Gks/ZumyWhos8itOhvfmn/Zc7oCSH8WAmHu9TPWYsnL2J1RvRGeT8hYeg+X6jFALlrjQCbNl5Hrq4JXbVvEBZ16L2ENFIkDlJ2gvHNTzIf4DsV4kro+m2tijLML9QiIfkEEeN5MB7UGtJGXfPKP0OJDqvmT6P21KG4L3QOTRAptEDl2lqIzdPDQjDA==
ARC-Authentication-Results: i=1; mx.microsoft.com 1; spf=none; dmarc=none;
dkim=none; arc=none
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=outlook.com;
s=selector1;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=O9bu/1c/gI1tlnposm+orK/Idej30pLcyJmtNqLWca4=;
b=k0j1AzMU6anGk0E1K0LFI7bCCEJyMPNjaZg31H8r10mYlwhyV/qOXKls2j/iuK+peTS/uW2SZrYsn7wNQOmx7MWw+mwiZVY6yrdzKvANkDow1sfgIYmtYuJGiDw7jXJBkmPkVOX//k1ow8llxDk2WMtwByk7ws3gsyKexB/rRwMfSvMd4uH/vuaFZsEajqZLwMuQ8K6P1wTCl+iBgaj63ikBTjbdOSU1lF9aT3+4LnUy7dKwJLDEwprLNWsZ2xN+YgkgCcixO39RGgts67dzLKSMpGb2L3hBG7xMTOHSRmU3FE+QiT/uSCV90mQuPjdruK8cf/UfDJfmjfyHBu4guA==
Received: from DS4PR03MB8397.namprd03.prod.outlook.com (2603:10b6:8:328::21)
by CH2PR03MB5336.namprd03.prod.outlook.com (2603:10b6:610:94::14) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.9366.17; Wed, 3 Dec
2025 03:06:53 +0000
Received: from DS4PR03MB8397.namprd03.prod.outlook.com
([fe80::8076:4ac1:9b1e:84e2]) by DS4PR03MB8397.namprd03.prod.outlook.com
([fe80::8076:4ac1:9b1e:84e2%4]) with mapi id 15.20.9388.003; Wed, 3 Dec 2025
03:06:53 +0000
Message-ID:
<DS4PR03MB8397AF7117ED3B61F12E25968FD9A@DS4PR03MB8397.namprd03.prod.outlook.com>
From: =?utf-8?B?6JGJ6aGv5qau?= <Moakley1969Rhea323@outlook.com>
To: dennisyeh <dennisyeh@tasc.tw>
Subject: =?utf-8?B?5Y+w54Gj5oeJ55So6Luf5Lu26IKh5Lu95pyJ6ZmQ5YWs5Y+4?=
Date: Wed, 3 Dec 2025 11:06:47 +0800
Content-Type: multipart/related;
boundary="----=_001_4094b8f3df940ed9_=----"
X-Mailer: Supmailer 46.0.0
X-ClientProxiedBy: KL1PR01CA0151.apcprd01.prod.exchangelabs.com
(2603:1096:820:149::7) To DS4PR03MB8397.namprd03.prod.outlook.com
(2603:10b6:8:328::21)
Return-Path: Moakley1969Rhea323@outlook.com
X-Microsoft-Original-Message-ID: <CF90F8AC4DD7DDCAE3EC2CD37BF0752D@kvhsfruml>
MIME-Version: 1.0
X-MS-Exchange-MessageSentRepresentingType: 1
X-MS-PublicTrafficType: Email
X-MS-TrafficTypeDiagnostic: DS4PR03MB8397:EE_|CH2PR03MB5336:EE_
X-MS-Office365-Filtering-Correlation-Id: f9be29d7-e635-4f84-d2d4-08de32190247
X-Microsoft-Antispam:
BCL:0;ARA:14566002|12121999013|5072599009|19110799012|6092099016|15080799012|23021999003|39105399006|8060799015|461199028|3430499032|40105399003|3412199025|440099028|26104999006;
X-Microsoft-Antispam-Message-Info:
=?utf-8?B?VEt5aWFhODJNSDZOS2J5UXp3QTBlTEtsVjRXTzlSUSsxcEM1L0RTRFM1UVdV?=
=?utf-8?B?UDFzVjZ4STVvNTh4U28xMUsyM2l2SDVyOHhsRy81OWFCRFAzQklvUlN1V0Yy?=
=?utf-8?B?T3oxRlpoMHFNRGtZT2FBWlBpMGRtZm1PMldKS3JtT0hveXFmZU5va2psSXk5?=
=?utf-8?B?a05PM3dsdkF6dVVmZmZQQ1Z1d0dwaDZ0b2RFcDZ2K1dldHNySWlON2R0WFRR?=
=?utf-8?B?ZHZUT2g1M2RhUTZtMWpwRlhWUkFQb1pOQzRkZWJma3Q3QjNPa25jUGlUdjM0?=
=?utf-8?B?UHIzQUhTK2tVVVg5QWlpVlltYjRYVFlKdWY4bU9vSlVka2dQK3c2cXVRZ3JL?=
=?utf-8?B?d3NJOVRyc3F6NjJUUlBBWC9tcTZYTE1iUnlqZ3VuWEpsWTFISkRWN3J1V3Fl?=
=?utf-8?B?N0QrN3hVdlhsUW8yRUVRUG81eldIbk14Z1JwbGtENzBUdVJLbGloY0hmdk9D?=
=?utf-8?B?WEQ4ZnppenBRTE1mUklWT0xzVU1Cdm85Ri9DMUd3aDZuMHBTZEtkNHhOaXp3?=
=?utf-8?B?MVU0ekFLVkE3M0pJdW9XSURMemE2WmlqNlVQZnBqc2NkWU9yUGxzT3ZINmR4?=
=?utf-8?B?bFZLeko2SGdvYWFWY3FtdzNaZ2dkanQ0Z3ZmUzVkOFRsSGZCQnE2SjR6U3U1?=
=?utf-8?B?eWQ1cUtMWmR0S2tEWFdHeURzVm9maStLSWE5NW91cjNjVHptcG5USUdhZWJO?=
=?utf-8?B?TjlBcCtCUkJKOUZESElEUnhKMTM5MEd0eFV3ME9NeXpvZG1mQTVxV3AwY0hS?=
=?utf-8?B?QXhpdFhSd3ROd0dvUzE4OTQ4cmNXWXorOWViQ2VJaGkzZHc0VWF5ZG01TjR2?=
=?utf-8?B?amRoUTQ0elVkbU1TbE9INFNSb3NGb09FeFRiZE5lM0J4RHBvS3BRNkVReWta?=
=?utf-8?B?Mk9xRXduQ0N1TzU0R09EdktTelB5ZHVraEgzRlk4N2pEdDl6NjVhQUFDdW0r?=
=?utf-8?B?RHc4dzdhZTcwbzFocFhnV3V3QllvcUdQa2FpRlljb2R0TFV5UFVvc0ZLSkJO?=
=?utf-8?B?akRYclIyTitjZS9OOEEvcXJqSkU1Z0FsNlNCZHRoVENZbjhmMk5WM2hIWWp2?=
=?utf-8?B?Mkc5WnBtcFZZRkloVm5LYko4NjFPUW1nNnZvSkR0ZVBST0dFWXprNkNwVXR1?=
=?utf-8?B?V2VsdE5MS21kTFRGczVzczQrYjJYVXIwSmdWOHQ2c2RVTW9oNDkyMU10czA0?=
=?utf-8?B?dU9YTHV5OHh1eStvbGFqZHpaVmk1Z1VHbStBdFh0NGlUTzlSRDMvQnhKV1h5?=
=?utf-8?B?V0F1SXl5NnJCSkR3NXVqMytPcWJGc3MxUGZOWTFaVHFRdVhoNTQzLzlBMTJ1?=
=?utf-8?B?R0YyWVNibzhmbXFWY0g3Q1lDSXpsYktuS3paeUI1WmcyRUFKV2taZGNTR093?=
=?utf-8?B?THpyVWNDYXZjdUhuT1B6Z0lvRFd4eHR4dW1xR0ROckFVVWk2aEN4ZUU4Umly?=
=?utf-8?B?akpDaENZVTlFYlUvV01HRFh6dmZEOXNRV3NoNTQ4cUlPblFtNVRJVWFLeTU4?=
=?utf-8?B?blFNS1RVWVNiR1FLa09Xc0R5TmhWRVRDL0FvQ0t1b2lIeEVreVhMYjRuRFdN?=
=?utf-8?B?Qld0NjJpSWZsRW1ENEJXdERUMnhmVmlsN200cWlmYVFiU1BFdTB1NmR0bU9I?=
=?utf-8?B?MElCaEJEMmxmQkphT211YTRUdmxYYVh5M2tlb1FGSFlTOXpuMkxKYVFVR1gv?=
=?utf-8?B?NU54MkluaWdjY2FBczdvMllRdmM0VG1rZzZxbVArMzhhMlIwRTc3Tmx3PT0=?=
X-MS-Exchange-AntiSpam-MessageData-ChunkCount: 1
X-MS-Exchange-AntiSpam-MessageData-0:
=?utf-8?B?RmlpNlNBRDNwNEtnZGErNmZ5TkpxRGdSc3ZCVEtHTkgvVkxJUTVOR2J5ZmpL?=
=?utf-8?B?bTZUd1NUWkJwTFZrNE9zZkM0eTRxcXNDUklXOG45dndBZVFkMHozVndGL1k4?=
=?utf-8?B?V25Fc1ZOa0pSTTJ5dno5Nk9YY0R2UjJuQzdoSmVqdG05R2crMllYZEVlVjRT?=
=?utf-8?B?UEZyWTIxNDN6ZVhnT05VWTNaU1BRVEprb3c2WUZsNVQvZmZqZkwvSjZtRkUy?=
=?utf-8?B?T0ZYMnM5SzdWL2hZK082a21PbjdEclVwWmV3VnBjMEtPdVlJUmhQdG81MHFO?=
=?utf-8?B?a21RSW96RjNGNDB6Z051SWlPSzRSMjFaSjVKVmxJY3orZ2lpbm05SDliQWRC?=
=?utf-8?B?ZEtIbHJ6UGd5Tkw4ejVTY3U4eXBDM2g5d25LTzhkUGlGNFBibCtGeFlNeW1T?=
=?utf-8?B?eUlWdXd0dHR1cUZuM0lqVCtVN1ljYnVpRXNIdlJsQ3J3OGtaQXF5M3J1RG1o?=
=?utf-8?B?YTIxaklJanZjS1g3NHlTMkRvM3hDaGtGMjQ1K3hITGtTcEVrYkNQc2hMZFFC?=
=?utf-8?B?dHRadzJENVp6M0EvVkxLSmtobGxHTFdtT2FaYWxZbzRVLzBHYk9xbGNkeGhQ?=
=?utf-8?B?WUpKemQ5NzFOQVA4anZLM2h6TzdMYXo3MG9vTGMwNXc3OW5TaThmb3FWRHBB?=
=?utf-8?B?MDBQK0V6K2hnbS84c0ZrZkUyOGRDNEFnNXZCOURkME1VUnY1YzJ0dlRXRmNQ?=
=?utf-8?B?UGREdUtBTVJrOWVqRStHVWJXejR6c0F0TWhseGM0WHV2b1dvZEI2bmpvTURB?=
=?utf-8?B?ZEZsMzd1VnRJcEs5QjM1K3NoYmY5THJHQnVNUzVxNHpPeFl3bFpNR2k4NXIy?=
=?utf-8?B?N1J3QVJxM0tpcW1TM1B6NVRrcWE5bkVyeWRZMWVYSDZlUXQraEtuaHBvN2I2?=
=?utf-8?B?TExkVExQZ0JMRTRCa05aWkF4SjBtZGV3SEVxaXVmSVdhdkNkQ1lzL3FxRHB2?=
=?utf-8?B?UmtHMlc4SzdPY05uVjhBb2dTZGU3WTRBTlgrVzd0dE4vcFlyWVZlakd2c0ZT?=
=?utf-8?B?QUV4a3N2NUMxMzFkbnFaZXZ2Z3N4YlBnNlg4SlIzTmhLL3NISHM2cTBUTmgv?=
=?utf-8?B?b29ZVnA1RFkvb0dPQVN5cGV4eTJraUlOaURwbUJ4RzdhUlJMR3RKVmw5WHdy?=
=?utf-8?B?T1Z5cTZPcGJ1b0xIUEFHWEZVQWNrRlBtLzdzTSsrd2RNZVFoL0djUlIwYWpR?=
=?utf-8?B?d3RMaiswTFEyRWFCM0tPVk1UM01iZ3hNYXp2dERkMXBCN2RIZzBYSVFzQmZ0?=
=?utf-8?B?YTc4Z3YraVJmTGx2OWYrTXFDd2x3eUIwcFp4L3p4R0VZd1MrcmN0MTA1d1Jn?=
=?utf-8?B?ZU5kZlBYYm9JZFBlTGhkWXVINW85RnpYd0FnL1Y0dGVCeXd1VXp2NTVUdUk4?=
=?utf-8?B?bWt4MDEvT1A0SHk5bDV0R2cyZGI4YkVqaTVqU09DLzBlTnMrQ1QwZHlTdG1T?=
=?utf-8?B?ekdlbUZKSVJ6dzdkK3pvbEFtQnhkYkRmZ0dtVEV0dlZ0Zk1hcUFDUUcxZEJv?=
=?utf-8?B?RDlFNU1nZnRkZFV4angwTTY0bEFDWWpRR1FzY2dpODJVVm5weU9oSjhFeGtM?=
=?utf-8?B?N2YvSTFtZG5pWDVmNzIxZzJwYkl5MncxWXdnNWppVUF2aGNZeGZ6QngxZ0VH?=
=?utf-8?B?TkhRblFqb3A1S0tob2hmWlBKVDZtWlVDOXVMMEw3ZWxOeGhNU2xjcDlia3VO?=
=?utf-8?Q?GelhGA70CLMghpR+Oo+a?=
X-OriginatorOrg: outlook.com
X-MS-Exchange-CrossTenant-Network-Message-Id: f9be29d7-e635-4f84-d2d4-08de32190247
X-MS-Exchange-CrossTenant-AuthSource: DS4PR03MB8397.namprd03.prod.outlook.com
X-MS-Exchange-CrossTenant-AuthAs: Internal
X-MS-Exchange-CrossTenant-OriginalArrivalTime: 03 Dec 2025 03:06:53.3625
(UTC)
X-MS-Exchange-CrossTenant-FromEntityHeader: Hosted
X-MS-Exchange-CrossTenant-Id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa
X-MS-Exchange-CrossTenant-RMS-PersistedConsumerOrg:
00000000-0000-0000-0000-000000000000
X-MS-Exchange-Transport-CrossTenantHeadersStamped: CH2PR03MB5336 |
電子郵件網際網路標題解析
- 郵件來源與傳遞路徑分析(Source & Path)
寄件來源 IP:52.103.10.54
Received: from 52.103.10.54
52.103.10.54 屬於 Microsoft Outlook / Office 365 公共寄信 IP,表示此郵件是:透過 Outlook.com 合法 SMTP 服務送出,非企業專屬郵件伺服器。
攻擊者並未入侵企業郵件系統,而是使用「合法雲端郵件服務進行社交工程」,此類郵件極易繞過傳統黑名單機制。
- 威脅類型:Living-off-the-Cloud(濫用合法雲端服務)
Envelope-From / Return-Path 不一致企業身分
envelope-from <Moakley1969Rhea323@outlook.com>
Return-Path: <Moakley1969Rhea323@outlook.com>
From: <Moakley1969Rhea323@outlook.com>
郵件實際寄件帳號、回信路徑、From 完全一致,但與顯示的公司名稱「台灣應用軟件股份有限公司」不符。
攻擊者並非技術偽造信件,而是進行「語意層身分冒充(Display Name Spoofing)」
- 威脅類型:STRIDE – Spoofing(身分冒充)
- 驗證機制異常(Authentication Failures)
SPF / DKIM / DMARC 全部缺失(關鍵)
ARC-Authentication-Results:
spf=none;
dkim=none;
dmarc=none;
Outlook.com 未提供任何網域級身分保證,對收件端而言:
─ ❌ 無法驗證寄件網域是否授權
─ ❌ 無法驗證內容是否被竄改
─ ❌ 無政策可阻擋冒充行為
─ 完全不具企業郵件可信度
─ 是社交工程郵件的典型技術特徵
- 威脅類型:Unauthenticated External Email
AUTH_NONE(未驗證 SMTP 連線)
Mail2000 ESMTP Server ... (AUTH_NONE)
郵件進入你方郵件系統時:
─ 並未通過任何信任型 SMTP 驗證
─ 被視為「一般外部匿名郵件」
若內容具有業務語意,即屬高風險
- SOC 判定:External + Unauthenticated + Business Context = High Risk
- 防垃圾郵件引擎誤判風險
Spam 引擎顯示「NO」(誤導性安全感)
X-ADIFSPAM: NO/0
X-ADIFSPAM-SAS: NO/8
BCL:0
垃圾郵件評分為 0(最低),表示:
─ 無惡意連結
─ 無已知惡意附件
─ 無關鍵字觸發
這正是「高品質社交工程郵件」的典型特徵
─ 垃圾郵件 ≠ 社交工程郵件
─ 攻擊焦點在「人」,不是「惡意碼」
- 內容與工具指紋分析(Tooling Finger
X-Mailer: Supmailer 46.0.0
Supmailer 為:
─ 大量郵件發送工具
─ 常被用於行銷、釣魚、詐騙郵件
─ 非 Outlook / Exchange 原生寄信行為
即便使用 Outlook.com 帳號,實際操作可能來自自動化郵件工具
- 威脅類型:Mass Social Engineering Infrastructure
- ARC 與 DKIM 的「假安全感」
DKIM-Signature: d=outlook.com
ARC-Seal: d=microsoft.com
DKIM 僅證明郵件確實來自 Outlook.com,並未證明「台灣應用軟件股份有限公司」
常見誤解:「有 DKIM 就是安全」,實際上:
─ ✔ 技術合法,❌ 業務身分不合法,典型「合法寄送的非法內容」案例
- 綜合威脅判定
組織該如何避免或降低同仁遭受這些電子郵件攻擊的機會?
這類問題不是單一郵件如何阻擋可以處理,需要從組織層級進行系統性作業,才能降低被攻擊成功的機率。以下我們以多數組織相對熟悉,也比較容易納入 ISMS / AIMS / SOC / 內控的處理方式。
- 這類郵件「技術永遠擋不乾淨」
類社交工程郵件刻意:
- 不放惡意連結
- 不帶惡意附件
- 使用合法雲端郵件(Outlook / Gmail)
- 語意「看起來合理」
所以真正的防線不是 Mail Gateway,而是「制度 + 人 + 流程」
- 四層防護模型(實務可落地)
台灣應用軟件以「四階層防社交工程模式 (4-Layer Anti-Social Engineering Model)說明面對這些郵件的防護建議措施:
─ 以正式制度(不僅僅是公告),明文禁止「非受控通訊管道啟動工作」。不得以 Line / WhatsApp / Telegram / 私人 Email,作為「首次」工作聯繫或專案啟動管道。關鍵成功因素:不是禁止使用,而是禁止「啟動」。
─ 定義「高風險郵件」而非「垃圾郵件」,制度中明確定義,凡具備下列任一條件者,列為「高風險業務郵件」:
✔ 要求加入即時通
✔ 要求掃描 QR Code
✔ 要求建立新群組
✔ 未能以公司網域驗證身分
關鍵成功因素:這會讓同仁「有判斷依據」,不是靠感覺。
- 第二層:流程控制 (Process Control)
─ 建立「通訊管道轉移驗證要求」,例如若收到郵件要求:
✔ 加入 Line
✔ 掃描 QR Code
✔ 轉移至即時通
則同仁必需要 (SHALL):
✔ 不點擊
✔ 以公司電話 / 官網聯絡方式回撥驗證
✔ 通報資安或主管
關鍵成功因素:回撥來源不能用郵件提供的資訊。
─ 簡化通報,不要增加心理成本
✔ 錯誤做法 ❌:「請填寫 20 欄事件通報單」
關鍵成功因素:通報越難 → 越少人通報。
─ 不要教「怎麼看 Header」,這是資安人員的工作,不是一般同仁的。可以調整為「三句話判斷法(30 秒)」:
✔ 「這件事是不是我原本就知道的?」
✔ 「為什麼要我換通訊軟體?」
✔ 「我能不能用公司已知管道驗證?」
關鍵成功因素:簡易判斷比教 10 個技術指標有效。
─ 把「QR Code」列為紅色警戒物件,內訓要明確說:
✔ QR Code ≠ 安全
✔ QR Code = 看不到的連結
並訂一條簡單原則:「工作郵件出現 QR Code,一律當釣魚處理」
調整郵件系統「風險加權」過濾規則,超過風險加權門檻的郵件,加註警語,而不是直接擋。
例如,外部郵件|要求轉移通訊管道,請勿加入 Line】,在郵件中加註這一行警語,會比任何訓練都有效。- 社交工程郵件防護政策
社交工程不是「人不夠聰明」,而是「制度允許不安全行為發生」。組織應從不同層面,強化社交工程郵件的應變與防護能力。
─ 使用免費信箱(如 Outlook、Gmail)卻聲稱為企業或政府單位
─ 要求掃描 QR Code 以取得後續聯繫
─ 要求加入 Line、WhatsApp、Telegram 等即時通
─ 要求建立新的通訊群組進行工作
─ 無法以公司既有管道驗證寄件者身分
─ 通訊管道原則:任何正式業務活動,不得以非受控即時通訊工具作為首次聯繫管道。
─ 身分驗證原則:凡要求轉移通訊管道之郵件,皆須進行獨立身分驗證。
─ QR Code 高風險原則:工作郵件中出現 QR Code,一律視為高風險事件處理。
─ 員工責任(Responsibilities):
✔ 不得點擊、掃描或回應可疑郵件
✔ 應立即依 SOP 通報資安單位
✔ 不得自行判定「應該沒問題」
─ 稽核與遵循(Audit & Compliance):本政策納入 ISMS / AIMS 稽核範圍,違反本政策者,將依內部管理規定辦理。
- 「通訊管道轉移」事件處理 SOP
當郵件出現以下任一情境,即啟動本 SOP:
─ 要求加入即時通(Line / WhatsApp 等)
─ 要求掃描 QR Code
─ 要求建立新群組
─ 要求改用私人 Email 聯繫
─ Step 1:停止互動,不點擊、不掃描、不回信
─ Step 2:獨立驗證,使用公司內部通訊錄、使用官網公開聯絡方式、不得使用郵件中提供的聯絡資訊
進行郵件 Header 分析,評估是否為社交工程 / BEC 前置,視情況發布全體警示,並留存事件鑑識資料。
─ 確認郵件為社交工程攻擊
─ 或完成身分驗證並解除警示
─ 完成紀錄並歸檔
- 員工版社交工程 30 秒判斷卡
─ 是既有專案?
─ 還是突然冒出?
─ 為什麼不用公司 Email?
─ 為什麼要 Line / QR Code?
─ 官網電話?
─ 內部通訊錄?
─ 主管確認?
─ 要我掃描 QR Code
─ 要我加 Line
─ 要我建立新群組
─ 寄件者用免費信箱卻自稱公司
- 正確動作只有一個:不要點 → 不要回 → 通報資安
組織該如何防範社交工程?正確的概念是:社交工程不是技術問題,是「信任被利用」,不是靠「教育訓練簽到表」,而是分別從制度、流程和行為規範面著手強化建立強化措施。
社交工程郵件防護與ISO 27001 ISMS及ISO 42001 AIMS
最後一項議題是社交工程郵件和ISO 27001及ISO 42001間的關聯性,藉由個案分析,瞭解ISO 27001及ISO 42001的應用方法,或有助於組織檢視和調整其既有資訊安全管理制度,以及未來規劃建立的人工智慧管理制度之參考:
- ISO 27001 / ISO 42001 控制項對照表
- ISO 27001 控制項對照表 (範例)
- A.5.7 威脅情資 (Threat Intelligence)
- A.5.10 資訊與資產可接受使用 (Acceptable use of information and assets)
- ISO 42001 控制項對照表 (範例)
- B.3.2 AI 角色與職責 à 人類監督 (Human Oversight)
定義角色與職責對於確保組織對 AI 系統的問責性至關重要。組織應在分配角色與職責時,考慮 AI 政策、AI 目標與已識別的風險,以確保涵蓋所有相關領域。
- C.3.7 技術成熟度 (Technology readiness)
風險來源可能來自於技術不夠成熟,因為仍存在未知因素(例如系統的極限與邊界條件、性能漂移);另一方面,即使是成熟技術,也可能因過度依賴而導致風險 (技術自滿)。
本週資安週報深度剖析 2025 年末出現的假冒企業社交工程攻擊。透過解析 Raw Header 揭露攻擊者如何利用 Outlook 合法雲端服務、Supmailer 工具與 QR Code 誘導員工轉移至 Line 等非受控通訊管道。本文提供「四層防護模型」與「30秒快速判斷法」,並對接 ISO 27001 與 ISO 42001 合規控制項,協助組織建立制度化的資安防護體系,防止 BEC 與社交工程詐騙。