報導摘要

近年來，網路釣魚（Phishing）攻擊已從簡單的惡意郵件附件，演變為利用大型、合法且受信任的雲端服務來發動攻擊，例如Google Workspace和Cloudflare。這種新型態的攻擊手法，使得傳統的資安防禦機制難以有效偵測。駭客不再需要建立惡意網站或惡意程式，而是將釣魚頁面或惡意連結藏在Google Docs、Google Sites或其他無害的雲端服務中，利用這些服務的信譽來繞過電子郵件安全閘道（SEG）和沙箱技術。為了應對這一嚴峻挑戰，資安公司如Cloudflare正與Google等雲端巨頭緊密合作，運用人工智慧（AI）與機器學習來提前識別並阻擋此類威脅，並推廣「零信任」（Zero Trust）架構，以強化企業的整體防禦能力。

新興網路釣魚手法：利用可信賴的雲端服務

傳統的網路釣魚攻擊通常依賴於惡意附件或偽造的網址來竊取用戶憑證或植入惡意軟體。然而，隨著資安技術的進步，這些手法越來越容易被偵測。駭客為尋求突破，轉而利用看似無害且受信任的雲端服務，發動「無檔案」（fileless）或「無惡意網址」（malware-less）的攻擊。

其主要手法包含：

1. 利用大型品牌的合法服務：駭客會將惡意內容嵌入Google Docs、Google Sheets、LinkedIn或Baidu等合法服務中。當用戶點擊郵件中的合法連結時，會被導向這些服務的頁面，頁面中再嵌入惡意連結或要求用戶輸入憑證的釣魚表單。由於初始連結指向的是一個信譽良好的合法網域，傳統的URL過濾器和沙箱技術會將其標記為安全，從而使其順利通過防禦機制。

2. 變種與混淆技術：駭客不斷進化其攻擊手段，例如利用QR Code來規避URL掃描，或是使用「同形異義字」（homograph）或「拼寫錯誤」（typo-squatting）手法註冊與知名品牌相似的域名，增加辨識難度。

3. 延遲性攻擊：駭客會發送一個當下無害的連結，但會在幾小時後才啟動惡意內容，使得即時性的掃描在第一時間無法發現威脅。這種延遲性攻擊特別難以防禦，因為其惡意行為並非在郵件傳遞時發生，而是在用戶點擊後的一段時間內才觸發。

4. 針對性攻擊（Spear Phishing）：駭客會根據特定目標的身份，量身定做釣魚郵件。例如，冒充高階主管、人資部門或IT人員，以威脅工作安全或要求進行敏感操作為誘餌，誘騙員工點擊連結。這些攻擊通常與惡意軟體無關，而是專注於竊取登入憑證或進行商業電子郵件詐騙（BEC），因此更難被基於惡意軟體特徵的防禦系統所識別。

Google與Cloudflare的聯手防禦：從偵測到主動保護

面對日益複雜的威脅，單一的防禦工具已不足以應對。這份報導揭示了資安領域合作的重要性，特別是大型雲端服務提供商與專業資安公司之間的協作。Google與Cloudflare的合作正是應對此類挑戰的典範。

Cloudflare的Cloud Email Security（前身為Area 1）與Google Workspace的郵件安全功能無縫整合，共同為企業提供更強大的保護。其防禦機制主要包含以下幾點：

1. 動態掃描與即時情報：Cloudflare的技術能夠在郵件送達用戶收件箱前，對郵件中的連結進行即時爬網（real-time crawling），並利用AI和機器學習模型來分析頁面內容、行為模式與網站信譽。這種方法能夠有效識別那些在傳輸時看起來無害，但實際是惡意釣魚的延遲性網址。

2. 行為與語意分析：與傳統僅依靠URL過濾或黑名單的機制不同，Cloudflare的解決方案能夠分析郵件的內容、發送者行為以及網域的歷史記錄。即使是利用合法服務發送的郵件，其內部的語意和行為模式仍可能透露出惡意意圖，例如要求用戶在不尋常的頁面輸入憑證。

3. 零信任（Zero Trust）架構：這份報導的核心思想之一是推廣零信任模式。傳統的資安模式假定內部網路是可信賴的，但零信任則主張「永不信任，持續驗證」（Never Trust, Always Verify）。這意味著每個用戶、設備或應用程式的存取請求，無論來自內部還是外部網路，都必須經過嚴格的驗證。即使攻擊者成功竊取了員工的憑證，零信任策略中的多重身份驗證（MFA）和存取控制仍能有效阻擋其橫向移動或存取敏感資料。

 

台灣企業應如何應對：從技術到文化

作為全球數位供應鏈的重要一環，台灣企業同樣面臨來自新型態網路釣魚的威脅。單純依賴防火牆或傳統電子郵件安全閘道已無法滿足需求。企業必須採取更為主動和全面的防禦策略，將其視為一項系統性的工程，而非僅僅是技術層面的部署。

以下是針對台灣企業的具體建議：

1. 投資進階的電子郵件安全解決方案：不再滿足於傳統的防垃圾郵件軟體。企業應考慮引進具備進階威脅偵測能力的解決方案，特別是那些與AI和機器學習技術結合、能夠偵測複雜無檔案攻擊的工具。

2. 導入零信任架構：這是一個長期且必要的轉變。零信任不僅僅是技術部署，更是一種管理思維。企業應逐步實施多重身份驗證（MFA）、最小權限原則（Principle of Least Privilege）、以及網路微切分（Microsegmentation），確保即使駭客突破第一道防線，也無法在內部自由移動。

3. 強化員工資安意識與教育訓練：許多釣魚攻擊的最終目標是人。企業應定期舉辦資安意識培訓，模擬真實的釣魚攻擊情境，教導員工如何辨識可疑郵件、報告威脅，以及在面對可疑請求時應遵循的SOP。這不僅能提升員工的警覺性，也能讓他們成為企業資安防線的一部分。

4. 建立即時的事件應變計畫：企業應預先建立一套完整的資安事件應變流程，明確定義在發生網路釣魚攻擊時，誰該負責、如何通報、如何進行資安調查與復原。這能有效縮短事件應變時間，將損失降到最低。

5. 與資安社群和廠商保持合作：駭客的手法不斷進化，企業很難單打獨鬥。與資安廠商、同業或政府機構（如TWCERT/CC）保持緊密聯繫，即時分享威脅情報，是應對新興威脅的關鍵。

 

結論

由Dark Reading報導所揭示的網路釣魚新趨勢，不僅是技術的挑戰，更是一場思維的革命。它要求我們重新思考傳統的資安防禦模式，從被動防堵轉為主動偵測與零信任驗證。對於台灣企業而言，這是一個重要的警訊，也是一個轉型的契機。透過擁抱新技術、強化員工教育並建立全面的應變機制，台灣企業不僅能有效抵禦當前的威脅，更能為未來的數位經濟建立起堅實的資安防線。

資料來源：https://www.darkreading.com/cloud-security/phishing-empire-undetected-google-cloudflare