前言：網路釣魚攻擊的典範轉移

在數位化的浪潮下，網路威脅正以驚人的速度演變。根據資安公司Proofpoint於2025年發布的最新報告顯示，網路釣魚攻擊已發生根本性的典範轉移。過去，駭客主要利用惡意附件來傳播病毒或惡意軟體，但時至今日，URL型威脅已全面取代附件，成為網路犯罪分子的首選。在短短六個月內，URL型攻擊的出現頻率是附件型攻擊的四倍之多，這一數據明確指出，資安防禦的重心必須從傳統的附件過濾，轉向更全面地審視隱藏在電子郵件、訊息或文件中的惡意連結。

URL型威脅為何成為主流？

URL型威脅之所以如此受歡迎，在於其極高的偽裝性與隱蔽性。駭客已不再滿足於簡單的惡意郵件，他們利用日益精進的社交工程技術和人工智慧生成內容，打造出幾乎難以辨識的假冒網站或登入頁面。這些惡意連結可以被巧妙地嵌入電子郵件、訊息中的按鈕、圖片甚至文字中，讓使用者在毫無警覺的情況下點擊。由於URL連結本身不帶有可執行的程式碼，傳統的防毒軟體或郵件過濾系統更難以有效偵測，這為駭客提供了完美的攻擊途徑，使其能夠輕易地繞過企業內部的資安防線。

主要攻擊目標與手法剖析

在眾多URL型攻擊中，憑證竊取無疑是駭客最主要的目標。報告指出，駭客利用高達37億次的URL型攻擊，旨在竊取用戶的登入憑證，因為這些帳號密碼是通往企業內部網絡與敏感資料的鑰匙。其中，一種被稱為「ClickFix」的惡意活動增長尤為顯著，其年增長率近400%。駭客利用看似無害的「錯誤訊息」或「修復提示」來欺騙用戶，誘使他們點擊連結或執行惡意程式碼，最終導致帳號被盜或設備被遠端控制。這類手法利用了用戶在面對技術問題時的恐懼與信任，讓防禦更加困難。

行動裝置威脅的興起與挑戰

除了傳統的電子郵件攻擊，行動裝置已成為駭客的新戰場。2025年上半年，數百萬次的QR Code釣魚攻擊被識別，同時，簡訊詐騙（Smishing）活動也呈現驚人的2,534%增長。這些攻擊利用簡訊、即時通訊軟體或二維條碼作為媒介，傳播惡意連結。由於許多員工在工作中使用個人設備，這些攻擊往往能夠繞過企業的傳統資安防護。惡意連結偽裝成來自銀行、快遞公司或內部IT部門的通知，誘騙使用者在手機上點擊並輸入個人資訊，讓駭客得以竊取憑證或植入惡意軟體。

應對策略：以人為本的多層次防禦

Proofpoint的資深威脅情報分析師Selena Larson強調，現代網路威脅已不再僅僅是針對機器，而是直接針對「人」。這意味著僅依賴技術防禦已不足以應對當前的挑戰。企業需要建立一套多層次、以「人」為本的資安防禦策略。這不僅包括部署先進的威脅偵測技術來篩選惡意連結，更關鍵的是要加強員工的資安意識培訓。透過定期的教育訓練，教導員工如何辨識社交工程手法、檢查可疑連結的真實性，並養成不輕易點擊的習慣，才能從根本上降低風險。

結論：預防勝於治療

2025年的資安報告敲響了警鐘，明確指出URL型威脅已成為當前最嚴峻的挑戰。駭客利用AI與社交工程不斷演進，攻擊手法日新月異，從電子郵件到行動裝置，無處不在。面對這樣的局面，企業和個人必須採取更為主動的防禦姿態。除了技術層面的升級，更應將重心放在「人」的防禦上。只有透過技術、教育與流程的全面整合，才能有效抵禦不斷變化的網路釣魚攻擊，保護關鍵資料與數位資產的安全。

資料來源：https://www.helpnetsecurity.com/2025/08/21/phishing-url-based-threats/