主要心得
- 微軟Threat Intelligence 在 2026 年第一季Threat Intelligence 83 億起電子郵件釣魚威脅,其中 QR 碼釣魚攻擊在該季增長了 146%,而需通過驗證圖像(CAPTCHA)的釣魚攻擊在 3 月份的數量,相較於 2 月份更增加了超過一倍。
- 微軟自身的效能測試顯示,Microsoft Defender 能在惡意電子郵件送達收件匣後,移除其中 70.8% 的惡意內容。
- 到 2025 年 12 月,由人工智慧生成的釣魚攻擊將佔所有釣魚攻擊的 56%,較當年增長了 14 倍。
- 由 Deep CDR™ 技術主導的多層次防護策略,將偵測與預防相結合,無論威脅是否已知,皆能在檔案型態的威脅觸及使用者之前予以攔截。
當基於偵測的安全措施變成一場輸定的競賽
如果您負責大型組織的電子郵件安全工作,過去這一個季度對您來說想必相當熟悉。一波又一波的 QR 碼附件、行為異常的 HTML 檔案數量激增,以及某個可疑的 PDF 檔案成功繞過閘道,卻在數小時後被從收件匣中移除。每項警報都已處理,每張工單都已關閉,但內心深處始終縈繞著同一個令人不安的問題:我們究竟及時攔截了其中多少?
微軟《2026 年第一季電子郵件威脅情勢報告》揭示了這個問題背後的具體數據。在短短三個月內,微軟Threat Intelligence 83 億起透過電子郵件發送的網路釣魚威脅,觀察到 QR 碼釣魚攻擊激增 146%,且僅在 3 月份,需通過驗證碼(CAPTCHA)的釣魚攻擊數量就已翻倍以上。
重點不在於數量,而在於變化的速度,以及這揭示了僅靠偵測的管控措施所存在的局限性。
透過驗證碼進行的網路釣魚:一項關於規避機制的實地實驗
3 月份,需通過驗證碼(CAPTCHA)的網路釣魚攻擊數量增長超過一倍(+125%),達到一年多以來的最高月度紀錄。
微軟觀察到,威脅行為者每月都在積極更換傳送方式,測試哪些格式最能繞過電子郵件防禦系統。這種行為比單純的數量更具啟示意義。
- 一月份,HTML 附件是最主要的傳送方式(佔 37%);二月份該比例下降了 34%,隨後在三月份又增長了一倍多
- SVG 檔案在 2 月份激增 49%,隨後在 3 月份驟降 57%
- 3 月份,透過 PDF 附件發送並設有驗證碼(CAPTCHA)門檻的釣魚郵件數量增長了四倍多(+356%),較年度最高紀錄還高出 37%
- 3 月份,DOC/DOCX 格式載入量的增幅近五倍(+373%),佔需通過驗證碼(CAPTCHA)的釣魚攻擊傳送量的 15%
- 電子郵件中嵌入的網址——此類連結曾佔需通過驗證碼(CAPTCHA)才能存取的釣魚攻擊過半——在觸及八個月低點後,已出現部分回升
一個在二月針對攔截 HTML 有效載荷而調校的防護機制,對於能否攔截三月爆發的 PDF 攻擊浪潮,幾乎無法提供任何線索。
僅靠偵測的局限性
基於偵測的電子郵件安全系統運作的核心在於一個問題:這是否構成威脅?
然而,其有效性取決於該解決方案是否曾遭遇過該威脅(或至少是類似的威脅)。但零日攻擊與經人工智慧增強的載荷,其演進速度已超越簽名比對與單引擎機器學習模型,得以成功規避偵測。 根據《Hoxhunt 釣魚趨勢報告》指出,2025年12月由人工智慧生成的釣魚攻擊增加了14倍,並在2025年12月佔所有釣魚攻擊嘗試的56%,這點頗具啟示性,因為這類威脅更難被偵測。
格式武器化加劇了檢測負擔;攻擊者會透過 HTML、PDF、SVG、DOC/DOCX 檔案以及網址傳送惡意內容。每種格式都有其獨特的動態內容範圍,檢測引擎必須分別學習如何檢查這些內容,這進一步限制了檢測能力。
最後,微軟自身的效能測試顯示,Microsoft Defender 平均能在惡意電子郵件送達後移除 70.8% 的惡意內容。原生雲端防禦機制存在漏洞,即使惡意郵件停留時間極短,仍可能導致系統暴露於風險之中。等到進行修復時,使用者可能已經開啟、轉寄或執行了惡意附件。
這並非意味著偵測已不再重要。基於偵測的電子郵件安全機制在對抗已知威脅方面表現優異。但若僅靠這項機制,對於微軟本季記錄的威脅模式而言,已不再足夠。
2026年第一季報告應帶來哪些變動
沒有任何電子郵件安全措施能完全消除所有威脅,但「最大範圍的防護」是一項可行的防禦策略,而這如今意味著必須將偵測與預防相結合。如果您的電子郵件安全策略仍主要依賴於在封鎖威脅之前先加以識別,那麼微軟本季所記錄的載荷輪替現象,便清楚顯示出您的系統有多麼脆弱。
將預防措施納入整體架構
多層次的方法除了進行偵測之外,還會提出另一個問題:這個附件是否仍包含活躍內容?
OPSWAT Deep CDR™ 技術並不會試圖判定檔案是否惡意。該技術假設所有檔案都可能具有惡意,因此會將檔案拆解、移除潛在風險元素,並提供一個安全的版本。使用者收到的將是一個可正常運作的文件,無論已知或未知的威脅皆已消除。
當攜帶 CAPTCHA 驗證機制防護的釣魚載荷之 PDF 檔案數量激增四倍時,受 Deep CDR™ 技術保護的環境無需識別此新變種。無論如何,促使攻擊得逞的動態內容都會被移除。 此原則同樣適用於經過武器化的 DOC/DOCX、SVG、HTML 及 ZIP 附件,以及嵌入 PDF 中的 QR 碼——後者是 2026 年第一季增長最快的攻擊載體,其中 PDF 佔惡意 QR 碼傳播途徑的 70%。
Deep CDR™ 技術經 SE Labs 驗證,是首個在防護率與準確度評分上均達到 100% 的CDR 解決方案。
透過 MetaDefender
淨化處理會中和活性內容。某些附件仍需進行更深入的行為分析,尤其是那些專門設計成在靜態分析中看似無害的隱蔽型載荷。MetaDefender Sandbox 防護範圍Sandbox 至基於模擬的動態分析,揭露可疑附件中的惡意行為,並提供單一可信的判定結果,以加速事件分流。憑藉 99.9% 的零日漏洞偵測率,Aether 彌補了僅靠淨化處理和多重掃描所留下的防護缺口。
OPSWAT 如何OPSWAT 多層次方法來保障電子郵件安全
MetaDefender Security™是OPSWAT 針對微軟 2026 年第一季數據所描述之威脅所提出的多層次解決方案。兩種部署模式,同一個結合偵測與防禦的功能基礎。是OPSWAT 針對微軟 2026 年第一季數據所描述之威脅所提出的多層次解決方案。兩種部署模式,同一個結合偵測與防禦的功能基礎。
MetaDefender Gateway Security™ (EGS)作為軟體部署於現有郵件伺服器前方,運作於 SMTP/MX 層級。它針對 200 多種檔案類型應用 Deep CDR™ 技術、MetaDefender Sandbox Metascan 跨 30 多種防毒引擎的多重掃描(以實現最廣泛的已知威脅覆蓋)、釣魚攻擊偵測、Proactive DLP以及 Predictive Alin AI——這是一層執行前的人工智慧防護層,能在數毫秒內標記出由人工智慧生成及多態性的附件,並具備離線運作能力,適用於 OT/ICS 及物理隔離環境。
MetaDefender Cloud Security™ (CES)可強化 Microsoft 365 環境,無需變更 MX 記錄,數分鐘內即可完成部署。 針對微軟所記錄的基於檔案的載荷趨勢(HTML、PDF、DOC、ZIP、SVG 武器化),CES 運用 Deep CDR™ 技術、MetaDefender 、Multiscanning 17 種防毒引擎Multiscanning Metascan™Multiscanning ,以及 Predictive Alin AI,對所有進出郵件流量中的附件(包括加密檔案)進行檢查與淨化。
憑藉我們不懈的承諾,致力於推出能讓客戶即使面對當今諸如 AI 生成攻擊等威脅仍能確保安全的創新OPSWAT 超過 2,000 家組織提供保護。
