網絡安全公司 Menlo Security 最新報告顯示,針對瀏覽器的釣魚攻擊在過去一年激增 140%,零時差釣魚攻擊增加 130%,超過 600 宗攻擊使用 AI 生成內容。瀏覽器已經成為網絡攻擊的主要目標,因為員工透過瀏覽器存取所有關鍵業務應用程式,攻擊者開發出多種新型攻擊手法繞過傳統防禦措施。
瀏覽器成為企業最大安全漏洞
現代企業工作模式已經發生根本改變,員工使用數百個雲端和 SaaS 應用程式處理日常業務。瀏覽器成為存取這些應用程式的唯一入口,攻擊者因此將目標轉向瀏覽器發動攻擊。電郵不再是唯一的通訊渠道,員工透過即時通訊、社交媒體、短訊等多種方式接收資訊,令防範惡意內容變得更加困難。
網絡罪犯利用工業規模的釣魚基礎設施,配合各種混淆和逃避偵測技術。最新一代的 MFA 繞過釣魚工具包能夠動態混淆網頁載入程式碼,實施自訂機械人保護措施(例如 CAPTCHA 或 Cloudflare Turnstile),使用運行時反分析功能,並利用合法的 SaaS 和雲端服務託管和傳送釣魚連結。
Google 每日攔截約 1 億封釣魚電郵,全球每 412 封電郵中就有 1 封屬於釣魚企圖。2024 年釣魚攻擊造成的平均損失達到 488 萬美元(約港幣 HK$3,806.4 萬),比 2023 年增加 9.7%。商業電郵詐騙在 2020 年造成 18 億美元(約港幣 140.4 億元)損失,預計 2025 年損失會更高。
六大瀏覽器攻擊手法詳解
1. 憑證和會話釣魚攻擊
攻擊者透過釣魚直接入侵業務應用程式,這是目前最常見的攻擊方式。釣魚工具和基礎設施在過去十年大幅進化,攻擊者能夠透過即時通訊應用程式、社交媒體、短訊、惡意廣告傳送連結,並利用應用程式內的訊息功能,或直接從 SaaS 服務發送電郵繞過電郵檢查。
每間企業平均使用數百個應用程式,各有不同的帳戶安全配置。釣魚攻擊已經達到工業規模,使用各種混淆和偵測逃避技術。最新一代完全特製的 MFA 繞過釣魚工具包,能動態混淆載入網頁的程式碼、實施自訂機械人保護、使用運行時反分析功能,並利用合法 SaaS 和雲端服務託管和傳送釣魚連結掩蓋行蹤。
2. 惡意複製貼上攻擊(ClickFix)
ClickFix 成為過去一年最大的安全趨勢之一,最初稱為「假 CAPTCHA」。攻擊者試圖欺騙用戶在裝置上運行惡意命令,通常透過在瀏覽器中解決某種形式的驗證挑戰。受害者實際上從頁面剪貼簿複製惡意程式碼並在裝置上運行。
攻擊通常涉及點擊提示並在 Windows 運行對話框、終端機或 PowerShell 中直接複製、貼上和運行命令。FileFix 等變體使用檔案總管位址列執行作業系統命令,最近的例子顯示這種攻擊透過 macOS 終端機擴展到 Mac。
Microsoft 在 2025 年 3 月報告指出,Storm-1865 威脅組織從 2024 年 12 月開始冒充 Booking.com 針對酒店業組織發動 ClickFix 攻擊。釣魚電郵提及負面客戶評論、預訂請求或推廣機會,誘使收件人點擊惡意連結。攻擊者使用 ClickFix 技術部署多種竊取憑證的惡意軟件,進行金融詐騙和盜竊。
3. 惡意 OAuth 整合
惡意 OAuth 整合透過欺騙用戶授權與惡意、攻擊者控制的應用程式整合來入侵應用程式,這也稱為同意釣魚。攻擊者透過繞過典型的登入流程接管帳戶,繞過強化的身份驗證和存取控制,包括通行密鑰等抗釣魚 MFA 方法。
2025 年持續發生的 Salesforce 攻擊涉及這種攻擊變體。攻擊者欺騙受害者透過 Salesforce 中的裝置程式碼授權流程,授權攻擊者控制的 OAuth 應用程式,要求用戶輸入 8 位數程式碼代替密碼或 MFA 因素。
Google 在 2025 年 8 月揭露與 Salesloft 及其 Drift 應用程式相關的重大漏洞。攻擊者竊取了來自 Salesloft Drift 的 OAuth 權杖,用於從連接的 Salesforce 組織中竊取數據。Google 和 Mandiant 表示權杖在 Salesforce 和相關系統中被盜用,迫使緊急撤銷和重置。受影響的公司包括 Zscaler、Palo Alto Networks、Proofpoint、Tenable、Qualys 和 Cloudflare 等網絡安全公司。
4. 惡意瀏覽器擴充功能
攻擊者透過創建自己的惡意擴充功能並欺騙用戶安裝,或接管現有擴充功能來存取已安裝的瀏覽器,從而入侵業務應用程式。惡意擴充功能能夠在登入時觀察和捕獲登入資料,或從瀏覽器快取和密碼管理器中提取會話 cookie 和憑證。
2024 年 12 月 Cyberhaven 擴充功能被黑客入侵後,基於擴充功能的入侵新聞不斷增加,至少還有 35 個其他擴充功能受到影響。自那時起,已經識別出數百個惡意擴充功能,安裝量達數百萬次。攻擊者購買現有擴充功能並添加惡意更新相當容易,能夠輕易通過擴充功能網絡商店的安全檢查。
5. 惡意檔案傳送
惡意檔案多年來一直是惡意軟件傳送和憑證盜竊的核心部分。攻擊者透過惡意廣告和路過式攻擊等非電郵渠道傳送惡意檔案。檔案下載還可以包含將用戶引導至惡意內容的額外連結。
最常見的可下載內容類型之一是 HTML 應用程式(HTA),通常用於生成本地釣魚頁面秘密捕獲憑證。最近攻擊者一直在武器化 SVG 檔案用於類似目的,作為完全在客戶端呈現假登入門戶的獨立釣魚頁面運行。
6. 憑證盜竊和 MFA 漏洞
憑證透過釣魚或資料竊取惡意軟件被盜後,可用於接管缺少 MFA 的帳戶。現代企業使用數百個應用程式,應用程式未配置強制 MFA 的可能性很高。即使應用程式已配置 SSO 並連接到主要企業身份,本地「幽靈登入」仍可能繼續存在,接受密碼而無需 MFA。
2024 年的 Snowflake 帳戶入侵或今年早些時候的 Jira 攻擊,顯示攻擊者如何大規模利用被盜憑證。登入也可以在瀏覽器中觀察到,這幾乎是關於員工實際如何登入、使用哪些應用程式以及是否存在 MFA 的唯一真相來源。
釣魚即服務降低攻擊門檻
釣魚即服務(PhaaS)平台讓攻擊民主化,令新手能夠輕鬆發動複雜的攻擊活動。任何人都可以購買釣魚工具包,威脅成倍增加。傳統工具無法阻止這種洪流。2024 年早期採用 AI 和大型語言模型製作極具說服力的釣魚電郵和腳本。AI 將欺騙擴展到新高度,可以想像針對個人特點的釣魚電郵將會出現,而 2025 年這個噩夢或會成真。
Mamba 2FA 和 Rockstar 2FA 等新工具包針對 Microsoft 365 帳戶捕獲憑證和身份驗證權杖進行中間人攻擊。Kroll 在第四季度觀察到多個 PhaaS 平台針對用戶。威脅行為者在地下討論區上出售 AI 聊天機械人的廣告增加,聲稱可用於傳送釣魚活動。
企業防禦策略與未來趨勢
企業需要實施實時監控和主動防禦策略來減輕零時差攻擊的風險。這意味著採用零信任方法,在授予存取權限之前驗證每個請求、連接和用戶互動。瀏覽器隔離技術將風險網絡流量與企業網絡分離,應該被視為任何現代安全架構的關鍵部分。
釣魚意識培訓必須成為員工的持續過程。企業除了培訓員工識別可疑電郵,亦應在所有帳戶上實施多重身份驗證。MFA 作為額外的防禦層,確保即使攻擊者設法竊取登入憑證,他們也無法在沒有第二個身份驗證因素的情況下存取關鍵系統。
安全團隊需要採用創造性的條件存取控制策略,例如限制每個用戶允許的 MFA 裝置數量,或在授權 MFA 裝置時要求額外的身份驗證因素。更新 IT 服務台策略和異常處理程序,防止針對註冊或停用 MFA 和未經授權裝置的社交工程攻擊。
2025 年瀏覽器安全狀態報告中警告,隨著基於瀏覽器的釣魚攻擊在數量和複雜程度上增加,企業必須採取主動措施加強防禦,當中包括採用現代瀏覽器安全解決方案,利用 AI 和機器學習進行威脅偵測,並接受零信任原則。
瀏覽器成為主要攻擊向量,傳統安全模型已經不再足夠。企業唯有透過接受下一代安全技術、教育員工並採用多層防禦策略,方能期望減輕這些日益危險的威脅風險
