Microsoft 最新發布 2025 年度數碼防禦報告顯示,採用 AI 技術製作釣魚電郵點擊率高達 54%,相比傳統釣魚攻擊 12% 點擊率高出 4.5 倍。
報告指出 AI 自動化釣魚攻擊令犯罪分子投資回報率提升多達 50 倍,成為過去一年網絡釣魚領域最顯著變化。網絡犯罪組織及國家級黑客團隊正廣泛應用 AI 技術強化攻擊能力,除釣魚電郵自動化外,AI 亦加快漏洞掃描、社交工程偵察及惡意軟件製作速度,同時創造聲音克隆及深偽影片等新型攻擊工具。
AI 技術全面改變網絡攻擊模式
Microsoft 在涵蓋 2024 年 7 月至 2025 年 6 月財政年度報告中,詳細記錄 AI 技術如何革新網絡犯罪生態。犯罪分子利用生成式 AI 製作針對性更強釣魚電郵,採用受害者母語撰寫,並運用更具說服力誘餌內容。這項技術突破帶來可觀經濟利益,報告預測這種大幅提升投資回報將激勵更多尚未採用 AI 的網絡威脅者,在未來把 AI 納入其攻擊工具箱。
根據多間網絡安全機構統計數據,AI 生成釣魚電郵在 2025 年開啟率達 72%,幾乎是傳統釣魚攻擊兩倍。CybelAngel 外部威脅情報報告顯示,2024 年有 67.4% 釣魚攻擊採用某種形式 AI 技術。2022 年至 2024 年期間,黑客透過 AI 增強的釣魚攻擊數量激增 1,000%,主要目標為竊取用戶登入憑證。
Microsoft 企業客戶安全與信任副總裁 Amy Hogan-Burney 在威脅報告網誌文章表示,國家級行為者持續將 AI 融入網絡影響力行動。過去 6 個月此類活動顯著增加,因為攻擊者運用該技術令其行動更先進、更具規模化及更具針對性。Microsoft 威脅情報團隊數據顯示,2023 年 7 月記錄的政府支援團體製作 AI 生成內容樣本為零,2024 年 7 月躍升至 50 個,2025 年 1 月約 125 個,至 2025 年 7 月已達約 225 個。
ClickFix 社交工程攻擊急速崛起
報告期間另一項值得關注新興攻擊手法是 ClickFix,這種社交工程技術透過欺騙用戶在自己電腦上執行惡意指令,通常偽裝成合法修復程式或提示,藉此繞過傳統釣魚防禦系統。ClickFix 攻擊自 2024 年 11 月開始激增,網絡犯罪組織及國家級黑客團隊均採用此手法,向受害者環境傳送資訊竊取程式、遠端存取木馬、後門程式及其他惡意軟件。
Microsoft Defender Experts 數據顯示,ClickFix 成為去年最常見初始入侵手法,佔所有攻擊 47%。相比之下排名第二的傳統釣魚攻擊僅佔 35%。ESET 於 2025 年 6 月發布報告指出,ClickFix 社交工程攻擊在過去 6 個月激增 517%,成為僅次於釣魚攻擊的第二常見攻擊載體,佔 2025 年上半年所有被攔截攻擊近 8%。
ESET 威脅預防實驗室總監 Jiří Kropáč 評論指出 ClickFix 攻擊導致威脅清單每天都在增長,包括資訊竊取程式、勒索軟件、遠端存取木馬、加密貨幣挖礦程式、後滲透工具,甚至來自國家級威脅行為者的特製惡意軟件。這項技術於 2024 年 3 月由 Proofpoint 首次觀察到,到年底已呈爆炸性增長。
ClickFix 攻擊手法的核心在於利用偽造錯誤訊息或驗證提示,操縱受害者複製並貼上惡意腳本後執行。這種策略利用用戶傾向自行解決問題而非通知 IT 團隊心理,因受害者主動感染自己系統,故能有效繞過安全保護措施。ReliaQuest 於 2025 年 6 月發布報告發現,ClickFix 在 2025 年 3 月至 5 月期間令偵測到路過式入侵增加 10%。
企業商業電郵詐騙損失持續攀升
Microsoft 報告顯示,已知動機攻擊中,至少 52% 由經濟利益驅動,而通常與國家級團體相關純間諜活動僅佔 4%。在 Microsoft 事件應對人員能確定攻擊者目標案例中,37% 涉及數據竊取,33% 涉及勒索,19% 使用破壞性攻擊或人為操作勒索軟件攻擊,7% 攻擊目的是基礎設施建設,即犯罪分子入侵組織基礎設施以策劃未來攻擊。
商業電郵詐騙 (BEC) 持續成為財務損失最嚴重網絡威脅之一。FBI 互聯網犯罪投訴中心數據顯示,2013 年 10 月至 2023 年 12 月期間,全球報告超過 305,000 宗國內及國際 BEC 事件,涉及損失達 554.99 億美元(約港幣 4,328.9 億元)。2024 年單年 BEC 詐騙造成損失達 27.7 億美元(約港幣 216 億元),較前一年增長 14.5%。
Verizon 2025 年數據洩露調查報告引用數據顯示,BEC 造成總損失高達 63 億美元(約港幣 491.4 億元)。2025 年初平均 BEC 電匯轉賬請求為 24,586 美元(約港幣 HK$192,000)。報告亦指出作為 BEC 核心策略藉口攻擊 (pretexting) 頻率在去年幾乎增倍。生成式 AI 令 BEC 誘餌更具說服力且更易製作,到 2024 年中,估計 40% BEC 釣魚電郵由 AI 生成。
企業應對策略與防禦建議
網絡安全專家指出傳統防禦措施已難以應對 AI 驅動新型威脅,Anti Phishing Working Group 記錄 2025 年第一季有 1,003,924 宗釣魚攻擊,創下 2023 年底以來最高紀錄。全球每日發送約 34 億封釣魚電郵,佔全球電郵流量 1.2%。Google 每日攔截約 1 億封釣魚電郵。
企業需採取多層次防禦策略應對 AI 增強威脅,例如實施 SPF、DKIM 及 DMARC 等電郵驗證協定,驗證來信真實性並防止電郵欺騙。所有帳戶應採用複雜獨特密碼或密碼短語並定期更換,實施多因素驗證。垃圾郵件過濾及反釣魚解決方案能協助阻擋初始帳戶入侵。
人為因素方面,定期安全意識培訓至關重要。IBM Ponemon 研究指出,區分高損失洩露事件與受控事件最大因素是員工培訓及事件應對速度。網絡安全領域的速度與技能能為企業節省數百萬美元。培訓應包括如何識別釣魚計劃指引,IT 團隊應定期進行釣魚模擬測試。研究顯示,培訓不足與訓練有素的員工是洩露事件中最大成本放大器及成本緩解因素。
針對 ClickFix 攻擊,組織應教育員工識別可疑錯誤訊息或驗證提示。美國衛生及公共服務部建議,由於 ClickFix 依賴社交工程,最佳防禦是員工教育。安全培訓應始終包括如何識別釣魚計劃指引,以及 IT 團隊定期進行的釣魚嘗試測試。有效日誌記錄、資產可見性及持續系統監控對於偵測及應對 ClickFix 等威脅至關重要。
BEC 攻擊方面,企業可建立清晰財務驗證流程,任何透過電郵收到更改電匯收款人指示,發送者必須透過已知且受信任電話號碼及聯絡人以電話方式驗證新電匯資料,方可進行電匯轉賬。組織應對高價值交易實施雙重批准流程,並對任何偏離正常商業慣例的請求保持警惕。
未來趨勢與企業準備
網絡安全專家預測 AI 驅動網絡攻擊將持續演化並變得更具破壞性。2025 年全球 AI 驅動網絡犯罪總成本預計將超過 1,930 億美元(約港幣 1.5 兆元)。與 AI 相關洩露事件平均成本在 2025 年達到 572 萬美元(約港幣 4,461.6 萬元),較前一年增長 13%。報告顯示 87% 組織在過去一年經歷過 AI 驅動網絡攻擊,82.6% 釣魚電郵目前採用某種形式 AI 技術。
Microsoft 報告強調犯罪分子正採用登入而非破解策略,不再依賴簡單釣魚,而是採用混合技術漏洞、社交工程、基礎設施濫用及透過合法平台規避的多階段攻擊鏈。電郵轟炸從作為煙幕演變為更廣泛惡意軟件傳遞鏈中的第一階段攻擊載體。攻擊者會聯絡目標並冒充 IT 支援人員,提供解決問題協助。建立信任後,目標被引導安裝遠端存取工具,令攻擊者獲得鍵盤控制權、部署惡意軟件並維持持久性。
面對不斷演化威脅,企業需採用 AI 原生電郵安全平台,結合大型語言模型驅動偵測、深度行為分析、自動化威脅模擬及持續培訓,保護組織免受 AI 生成釣魚攻擊威脅。傳統安全電郵閘道已不足以應對現代威脅,組織需要能偵測電郵模式中微小變化並顯示潛在攻擊解決方案,在終端用戶參與前進行修復。
68% 網絡威脅分析師報告,2025 年 AI 生成釣魚嘗試比以往任何一年都更難偵測。全球 AI 驅動網絡攻擊報告數量在 2025 年增長 47%。隨著攻擊技術持續進步,企業必須保持警惕,投資於先進安全解決方案,並持續培訓員工識別及應對新興威脅。網絡安全已不僅是 IT 部門責任,而是需要全體員工參與的組織文化建設。
來源:Microsoft