這篇文章聚焦於近期的網路釣魚樣態。一般認知的網路釣魚,多半以大規模、廣撒網的方式嘗試獲取受害者;但此篇文章指出,最近出現一種更專門的作法,鎖定高階主管而且在節奏上持續加溫。資安公司Abnormal揭露網路釣魚服務平臺(PhaaS)Venom,並說明相關攻擊活動自2025年11月至2026年3月期間升溫,駭客以系統性方式針對全球重要組織的執行長、財務長等高階角色。誘因並非隨機內容,而是把「SharePoint檔案共用通知」包裝成看似例行的企業流程,再進一步引誘收信人掃描QR Code。值得留意的是,文章提到駭客會根據姓名挑選下手目標,約六成受害者為總裁或C級主管,攻擊橫跨超過20個產業,顯示其不只懂得用模板,更懂得用名單做精準投遞。
在手法拆解上,此篇文章指出攻擊並不只靠一封信,而是從寄送到呈現細節都經過設計。駭客常使用遭到入侵的商業電子郵件帳號發信,提升信件可信度;信中則是聲稱來自SharePoint檔案共用通知,並附上供掃描的QR Code。同時,為了讓偵測機制更難抓到蛛絲馬跡,文章說明釣魚信會加入多種迴避偵測的機制,包括在每次寄信時讓獨有的HTML元素數值隨機變化,避免重複雜湊值或特徵字串。此法還涵蓋13種假的CSS樣式表類別與元素ID,讓內容在技術層面更難與既有樣本完全對上。更細的設計是,HTML程式碼裡除了一般文字與連結外,還塞入五段電子郵件的對話串,並與另一個隨機生成的人物進行「看起來像是內部會議提案或假的財務表單」的互動,讓整封信在形式上更接近真實的企業往來,而非單純的惡意訊息。
此篇文章最後把關鍵風險落在QR Code與後續導向。一般情況下,多數QR Code會以圖片形式呈現,但文中強調該QR Code並非圖片,而是由Unicode字元組成,目的在於避開某些會特別檢測郵件圖片是否為QR Code的工具;然而,QR Code真正的作用,是引導收信人改用個人行動裝置存取,因為這些裝置往往較不在企業資安監控與管理範圍內。當收信人掃描後,駭客會先透過假的驗證工具,接著檢查使用者代理字串(User Agent),用來排除資安公司、無頭瀏覽器、雲端服務供應商、滲透測試工具等可疑流量。文章還提到,他們結合IP即時聲譽檢測工具與蜜罐陷阱(Honeypot),用以捕捉自動化工具與難以被看見互動的行為。通過這些篩選後,駭客再把使用者導向AI生成的企業網站,進行對手中間人攻擊(AiTM)或裝置驗證碼攻擊,藉此騙取收信人的微軟帳號。整體來看,此篇文章呈現的不是單一惡意連結的故事,而是一套從投遞可信度、內容偽裝、偵測迴避,到跨裝置引導與帳密竊取的完整攻擊鏈。
