官方身分背書下的新型威脅態勢

隨著數位轉型加速，台灣企業高度依賴雲端自動化工具來提升營運效率。然而，新型態的資安攻擊正精準打擊這種「信任關係」。Check Point Harmony 電子郵件安全公司的研究人員最近進行的一項調查發現，在過去的 14 天裡，網路犯罪分子濫用谷歌自身的自動化系統，發送了數千封看起來完全官方的惡意電子郵件。這類攻擊的隱蔽性在於它並非利用軟體漏洞，而是透過合法功能的邏輯濫用，挑戰了現有郵件安全過濾體系的極限。

攻擊原理：合法自動化服務的武器化

根據 Check Point 的報告，這項新發現的詐騙活動使用了名為 Google Cloud Application Integration 的工具，這項服務通常被企業用於設定工作流程自動化，例如發送自動提醒。然而，詐騙分子已經找到了利用此功能直接從合法的 Google 位址發送電子郵件的方法：noreply-application-integration@google.com。

由於這些郵件來自真實的谷歌域名，它們很容易繞過傳統的安全過濾器（如 SPF、DKIM 或 DMARC 檢查）。研究人員進一步調查發現，這些郵件通常看起來像是標準的辦公室通知，聲稱您有新的語音留言或需要查看「Q4」文件。眾所周知，這樣的內容使這些郵件看起來像是「例行的企業通知」，這也是為什麼這麼多人信任它們的原因。對於習慣使用 Google 工作空間的台灣軟體開發與管理團隊而言，這種「內源性」的郵件極難辨識其惡意本質。

三步驟陷阱：多重跳轉逃避偵測技術

詐騙分子使用多步驟流程竊取資訊，流程始於使用者點擊指向真實 Google Cloud 頁面（storage.cloud.google.com）的連結或按鈕。之後，使用者會被引導至第二個頁面（googleusercontent.com），該頁面顯示一個虛假的驗證碼測試（CAPTCHA）。

研究人員指出，這樣做是為了阻止自動化安全掃描工具的偵測，同時讓真實使用者通過。最後，使用者會被引導至一個偽造的微軟登入頁面以竊取憑證，簡單來說，就是詐騙分子會在你輸入密碼的瞬間記錄你的密碼。這種利用合法雲端基礎設施進行中轉跳板的策略，已成為 2026 年網路釣魚的標準化戰術。

誰是攻擊目標？全球與亞太地區受駭分析

研究人員觀察到，此次行銷活動遍及全球，雖然 48.6% 的目標位於美國，但亞太地區（20.7%）和歐洲（19.8%）的活動也相當活躍。值得台灣產業警惕的是，製造業和科技業是最大的目標，分別佔 19.6% 和 18.9%，其次是金融和銀行業，佔 14.8%。

在短短兩週內，約有 3200 名客戶收到了 9394 封釣魚郵件。這顯示攻擊者正針對供應鏈密集且資訊資產價值高的行業進行精準打擊。台灣作為全球半導體與科技應用軟體的核心據點，其企業員工頻繁處理各類自動化通知，極易成為此類攻擊的受害者。

基礎設施與服務濫用的責任辯論

針對此事件，谷歌隨後表示，這種「活動源於對工作流程自動化工具的濫用，而非谷歌基礎設施遭到入侵」。雖然該公司已確認這些特定推廣活動已被屏蔽，但這一事件提醒我們所有人，即使連結看起來來自可信來源，也要對任何意外連結保持警惕。

這揭示了當前雲端服務安全的一個灰色地帶：供應商負責平台的穩定與防護，但對於「合法工具被用於非法目的」的偵測仍存在滯後。台灣軟體開發商在整合第三方雲端自動化服務時，必須體認到「合法來源並不等於安全行為」，必須建立起零信任（Zero Trust）的郵件驗證觀念。

防禦機制重構：應對合法域名的釣魚策略

為了有效抵禦此類「寄生於合法服務」的攻擊，台灣企業需採取的防禦升級包括：

• 行為式郵件分析：不再僅依賴域名信譽，而是對郵件內容的語境、跳轉鏈結的邏輯進行深度動態掃描。

• 強化多因素驗證（MFA）：即使憑證被竊，強化的 MFA（如硬體密鑰）仍能防止帳號被劫持，抵銷釣魚攻擊的最末端損害。

• 自動化工作流審查：企業應定期審計組織內部使用的 Google Cloud 整合服務，確保沒有不明的外部帳號在使用自動化發信功能。

• 員工資安意識培訓：強調「驗證碼頁面」可能是攻擊媒介的觀念，教育員工在任何登入頁面輸入密碼前，務必確認最後的頂層域名是否正確。

在自動化便利中尋求安全平衡

這起針對 3000 家全球組織的攻擊，是 2025 至 2026 年資安環境的縮影：攻擊者正利用我們最信任的工具來攻擊我們。台灣應用軟件產業在擁抱高效自動化的同時，必須建立更深層的防護深度。唯有透過技術工具的動態監測與人的警覺性相結合，才能在合法域名與惡意意圖的偽裝交織中，守住企業的資訊安全底線。