網絡安全公司 ReliaQuest 本月發出緊急警告:黑客正利用一種新型詐騙手法攻擊企業,透過偽裝成業務文件的惡意電郵,暗中安裝本應協助 IT 部門管理電腦的合法軟件,進而取得公司系統的完全控制權。這種攻擊已在汽車製造、工業機械、電子產品、出版業和主題樂園等多個行業的企業中得逞。更令人擔憂的是,由於黑客使用的是企業日常使用的正規軟件而非傳統病毒,一般防毒系統根本無法察覺。網絡安全專家警告,這代表企業面臨的威脅已進入新階段——問題不再是「會不會被攻擊」,而是「被攻擊後能否及時發現並止損」。根據最新統計,2026 年全球因勒索軟件造成的損失預計達 740 億美元(約港幣 5,772 億元),平均每家受害企業的損失高達 550 萬至 600 萬美元(約港幣 4,290 萬至 4,680 萬元)。
攻擊如何發生:看似正常的業務往來暗藏陷阱
這波攻擊的起點往往是一封看似正常的商業電郵,標題可能是「發票明細」或「專案摘要」,內容包含一個雲端檔案下載連結。員工點擊連結後會被導向類似 Google Drive 或 Dropbox 的頁面,下載一個看似文件但實際上是偽裝程式的檔案。ReliaQuest 的研究團隊指出,黑客刻意利用知名雲端服務來傳送惡意檔案,因為大多數企業都信任這些平台,員工和 IT 系統都不會產生警戒。一旦檔案被開啟,它會在背景自動安裝遙距管理軟件(如 ConnectWise、TeamViewer 等企業常用的 IT 工具),讓黑客能像公司 IT 人員一樣遙距操控電腦。關鍵問題在於,這些軟件本身是合法的商業產品,許多企業的 IT 部門也在使用,因此防毒軟件不會攔截,IT 監控系統也難以區分是員工自行安裝還是黑客植入。ReliaQuest 強調這是首次觀察到黑客有系統地使用商業主題誘餌配合這類攻擊手法。
財務損失驚人:從營運中斷到商譽受損的連鎖反應
數據顯示這類攻擊對企業造成的財務衝擊遠超想像。根據 IBM 2024 年數據洩露成本報告,透過網絡釣魚電郵發起的攻擊平均造成 488 萬美元(約港幣 3,806 萬元)的損失。若黑客進一步部署勒索軟件(將公司資料加密並要求贖金),恢復成本平均為 153 萬美元(約港幣 1,193 萬元),這還不包括贖金本身。實際案例顯示,醫療行業有 53% 的受害機構選擇支付贖金,平均金額達 150 萬美元(中位數,約港幣 1,170 萬元)到 440 萬美元(平均值,約港幣 3,432 萬元)。製造業的支付金額也高達 120 萬美元(約港幣 936 萬元),許多公司即使有備份系統仍選擇付款,因為生產線停工和供應鏈中斷造成的損失更為龐大。更嚴重的是時間成本:57% 的企業需要 3 至 6 天才能完全恢復系統,19% 的企業需要 7 至 14 天。在這段期間,IT 團隊必須暫停所有日常工作全力搶救,營運部門面臨系統中斷,客戶服務受影響,整個公司陷入危機模式。長期影響包括客戶信任流失、品牌聲譽受損、監管罰款,以及股價下跌(上市公司),完整恢復可能需要 12 至 36 個月。
產業趨勢警訊:勒索軟件集團正有系統採用此戰術
網絡安全研究機構發現,這不是零星事件,而是有組織犯罪集團的系統性攻擊策略。Proofpoint 在 2025 年 3 月的報告中指出,越來越多黑客組織將合法遙距管理工具作為攻擊的首要工具,用於竊取資料、轉移資金,以及部署勒索軟件。Cato Networks 在調查 2024 年下半年至 2025 年初針對美國和英國企業的多宗攻擊後發現,勒索軟件團伙正有系統地利用這些工具進入企業網絡、橫向擴散到其他電腦,最終竊取機密資料並加密系統。最具代表性的是 DragonForce 勒索軟件組織,該組織在 2025 年大舉攻擊託管服務供應商(MSP,即為多家企業提供 IT 服務的外判公司),透過入侵一家 MSP 就能同時感染其數十家客戶企業,採用「雙重勒索」策略——既加密系統癱瘓營運,又威脅公開竊取的商業機密和客戶資料。這種「一石多鳥」的攻擊模式讓中小企尤其脆弱,因為它們往往依賴外部 IT 服務商,一旦服務商被攻破,自身也難以倖免。
防禦困境:當正常工具成為攻擊武器時企業該如何應對
多位網絡安全專家指出,這類攻擊之所以難以防範,核心問題在於黑客使用的是合法商業軟件而非傳統病毒。AhnLab 安全應急中心在今年 1 月警告,由於這些遙距管理工具本來就設計用來繞過防火牆和安全軟件(方便 IT 人員遙距工作),因此防毒系統無法識別它們是被黑客安裝還是 IT 部門安裝。Cato Networks 的分析團隊一針見血地指出:「合法遙距管理與惡意入侵的差異在於使用者的意圖,而非軟件本身的功能」。在一宗英國製造業案例中,黑客使用 AnyDesk 和 ScreenConnect 等知名工具在公司網絡中潛伏超過一個月,期間持續竊取資料並探查系統弱點,最後才發動勒索攻擊,而 IT 部門始終未察覺異常。美國網絡安全與基礎設施安全局(CISA)、國家安全局(NSA)等政府機構早在 2023 年即發布聯合警告,呼籲企業採取預防措施,包括攔截可疑電郵、清查網絡上所有遙距管理軟件(確認哪些是授權使用),以及檢查系統日誌識別異常活動。然而許多企業直到遭受攻擊才意識到問題的嚴重性。
管理層應採取的五項立即行動
面對這波威脅,網絡安全專家為企業管理層提供可立即執行的防禦策略。第一,建立明確的軟件使用政策:ReliaQuest 建議企業將可執行檔案(包括螢幕保護程式檔案 .scr)視為高風險檔案,技術上限制員工從下載資料夾或桌面直接執行此類檔案。第二,實施遙距管理工具白名單制度:Proofpoint 強調企業應明確列出 IT 部門批准使用的遙距管理軟件清單,任何未經批准的工具一律禁止安裝,並設定網絡監控在發現連接到未授權遙距伺服器時立即發出警報。第三,落實最小權限原則:Cato Networks 建議限制員工和軟件的系統權限,確保即使電腦被入侵,黑客也無法存取整個網絡或關鍵資料庫。第四,強化人員安全意識訓練:多家安全機構一致建議定期實施網絡釣魚演習(發送模擬詐騙電郵測試員工警覺性),並培訓員工識別可疑電郵和連結的能力,特別是那些要求下載檔案或緊急處理的電郵。第五,部署進階監控和快速反應機制:ReliaQuest 在最新報告中提到 AI 驅動的安全系統能夠自動關聯分析從可疑電郵到軟件安裝的整個攻擊鏈,在幾分鐘內自動遏制威脅並啟動修復程序,無需等待人工分析。這對於減少損失至關重要,因為研究顯示攻擊發現和反應的速度直接影響最終損失金額——使用 AI 系統的企業每筆紀錄的洩露成本為 128 美元(約港幣 998 元),而依賴傳統方法的企業高達 234 美元(約港幣 1,825 元)。
給 CEO 的建議:重新評估網絡安全投資的優先次序
這波攻擊浪潮傳遞的核心訊息是:網絡安全已不再只是 IT 部門的技術問題,而是影響企業生存的策略議題。Proofpoint 預測,使用合法軟件作為攻擊工具的趨勢將持續上升,因為黑客發現這種方法成功率高、不易被偵測,而且員工對安裝「看似正常」的軟件警覺性較低。統計數據顯示,84% 的企業在 2022 年至少遭受一次成功的網絡釣魚攻擊,其中半數遭受三次以上,而 2025 年第一季度勒索軟件攻擊更激增 126%。對企業領導者而言,關鍵問題不是「我們是否會成為目標」(因為幾乎所有企業都會),而是「當攻擊發生時,我們能多快發現並將損失降到最低」。這需要從三個層面同步投資:技術層面(部署進階偵測和自動化反應系統)、流程層面(建立清晰的軟件使用政策和事件應變計畫)、人員層面(持續培訓提升全員安全意識)。一家企業的網絡安全韌性取決於這三者中最薄弱的環節,而非最強的那一環。隨著 2026 年勒索軟件損失預計突破 740 億美元(約港幣 5,772 億元),將網絡安全視為成本支出而非風險投資的企業,可能在下一波攻擊中付出遠超預期的代價。
來源:
Security Brief Asia
ReliaQuest
Proofpoint
Cato Networks
Cybersecurity Ventures
