電子郵件仍然是攻擊者最常用的入口點，本文探討了網路釣魚、身分冒用和帳戶劫持如何持續導致電子郵件安全漏洞，並揭露各行業日益擴大的安全隱患。

電子郵件盲點再次給安全團隊帶來麻煩

電子郵件仍然是安全攻擊的主要入口，電子郵件中的惡意軟體年增超過 130%，詐騙案件增加超過 30%，網路釣魚案件成長超過 20%。這些類型的攻擊仍然是企業營運中受影響最大的因素，包括帳戶被盜用和業務中斷。

電子郵件外洩是企業成長的隱形殺手

過去12個月中，78%的組織曾遭受電子郵件外洩事件。網路釣魚、身分冒用和帳戶劫持仍然是導致此類事件頻繁的主要原因，這些事件往往會導致勒索軟體攻擊和資料遺失。網路釣魚和定向網路釣魚是最常見的洩漏類型，其次是企業電子郵件入侵和帳戶劫持。這些攻擊往往相互交織。一封簡單的網路釣魚郵件就可能洩漏憑證，攻擊者隨後利用這些憑證冒充員工、竊取資料或在網路中傳播惡意軟體。

網路犯罪分子正將攻擊目標轉向個人，而這種策略奏效了

製造業連續第六個季度成為網路犯罪分子的主要目標。 2025年第二季度，製造業遭受的電子郵件攻擊數量最多，佔所有攻擊事件的26%，其中包括商業電子郵件詐騙（BEC）、網路釣魚和惡意垃圾郵件。零售業緊隨其後，佔攻擊總數的20%，醫療保健行業也位列其中，佔19%，這與去年同期以及2025年第一季以來的趨勢基本一致。

醫療保健IT部門不能忽視的電子郵件安全風險

電子郵件仍然是醫療保健領域最大的安全風險之一，過時的系統和令人沮喪的工具常常導致工作人員繞過安全措施，使患者資料暴露在外。

員工屢次落入供應商電子郵件入侵攻擊陷阱

短短12個月內，攻擊者試圖透過供應商電子郵件入侵（VEC）竊取超過3億美元，其中7%的攻擊來自曾遭受類似攻擊的員工。員工難以區分合法郵件和攻擊郵件，尤其當這些郵件看似來自可信任供應商時。員工人數在5萬人或以上的大型企業中，員工再次遭遇VEC攻擊的比例最高。

低技術含量的網路釣魚攻擊日益增多

網路犯罪分子正將「事半功倍」的概念發揮到極致，他們利用回撥式網路釣魚詐騙，將這種攻擊手段推向了新的高度。去年，回撥式網路釣魚還未出現，但到了2025年第一季度，它已占到網路釣魚攻擊總數的16%。值得注意的是，連結式網路釣魚在2024年第一季佔到75%，但在2025年第一季下降了42%，為回撥式網路釣魚騰出了空間，如今，回撥式網路釣魚的攻擊次數已接近五分之一。回撥式網路釣魚是一種社會工程攻擊，攻擊者透過電子郵件或簡訊誘騙受害者撥打看似合法的電話號碼，從而洩露敏感資訊或下載惡意軟體。

只有 1% 的惡意電子郵件會傳播惡意軟體

2024年，企業用戶收件匣收到的電子郵件威脅中，99%是基於響應式社交工程攻擊或包含釣魚連結，只有1%的惡意郵件攜帶惡意軟體。這表明，雖然常見的郵件投遞前防禦措施能夠有效阻止惡意軟體，但它們對於攔截商業電子郵件入侵和憑證釣魚等高風險威脅的能力卻遠不及惡意軟體。

十封郵件裡有九封是垃圾郵件

如今，用戶比以往任何時候都更容易落入人工智慧精心設計的釣魚郵件陷阱，這些郵件措辭精準，聽起來與發件人極其相似，而且往往是來自看似可信的供應商，他們擁有合法的網站和乾淨的域名，卻精心炮製出極具迷惑性的騙局。十分之九的電子郵件被歸類為垃圾郵件——即未經請求的、不受歡迎的郵件，或帶有惡意目的的郵件。在這些從未出現過的垃圾郵件中，37%屬於商業郵件，32%屬於詐騙郵件，21%屬於釣魚郵件。

資料來源：https://www.helpnetsecurity.com/2026/01/06/rising-email-breach-risks/