一款名為「量子路由重定向」（Quantum Route Redirect）的全新釣魚工具，正讓低技術門檻的網路犯罪分子如虎添翼，針對Microsoft 365用戶發動精準攻擊，成功滲透90個國家逾千受害者。資安公司KnowBe4於本週揭露，此工具簡化複雜攻擊流程，並以智能重定向規避電子郵件防護，美國佔受害76%，台灣作為亞太Microsoft雲端重鎮，企業用戶面臨類似威脅。專家警告，這不僅民主化了社工攻擊，更放大供應鏈風險，呼籲台灣組織立即強化郵件安全與使用者教育，防範信安災難。

 

Microsoft 365作為全球企業生產力核心，台灣逾60%中大型公司採用，涵蓋郵件、文件共享與協作功能。然而，量子路由重定向的出現，正將釣魚攻擊從高階駭客專屬，轉變為人人可及的武器。KnowBe4研究員Jeewan Singh Jalal、Prabhakaran Ravichandhiran及Anand Bodke在部落格中指出，此工具自8月現蹤野外，透過約1000個域名運作，提供「先進自動化平台」，涵蓋流量重導、受害追蹤等功能，讓菜鳥駭客一鍵發動全球戰役。

 

攻擊規模驚人：受害分布90國，美國獨佔鰲頭，其餘24%散布歐亞非南美，唯獨澳洲倖免。研究員感慨，「量子路由重定向標誌網路犯罪可及性的憂人演進，移除技術門檻，讓新世代威脅行為者以最小專長發動精密攻擊。」對台灣而言，這是警訊。根據資策會2025年報告，本地Microsoft 365用戶逾500萬，包含金融、製造與政府機關，若遭信安入侵，不僅洩露機密文件，更可能觸發個資法罰鍰，損失動輒數億元。

 

工具的殺手鐧在於兩大要素：簡易性與規避性。首先，簡易性讓攻擊開發如兒戲。過去需編碼重導與追蹤的步驟，如今一鍵搞定，支持多樣主題誘餌：偽裝DocuSign服務協議、薪資單通知、付款提醒、遺漏語音信箱，或QR碼釣魚（quishing）。URL模式固定為「/([\w\d-]+\.){2}[\w]{,3}\/quantum.php/」，寄生於停放或被駭域名，便於品牌冒充，誘使受害點擊。最終，所有路徑匯聚單一目標：信安收割頁面，由量子路由重定向後台管理。Jalal等研究員舉例，一封偽造「薪資調整通知」郵件，點擊後即導向假登入頁，竊取帳密。

 

其次，規避性是其真正恐怖之處。企業級Microsoft 365部署，通常整合Exchange Online Protection（EOP）、安全電子郵件閘道（SEG）及雲端郵件安全（ICES）產品，這些依賴URL掃描防禦：交付時分析可疑連結，隔離威脅；點擊時再驗證，阻擋後置毒路徑。駭客早破解此招，以動態變更終點規避。但量子路由重定向更進一步：其負載能智能辨識「訪客」類型—安全掃描器或真人—透過重定向系統自動應對。

 

具體而言，掃描工具點擊連結，將被導至合法網站，如知名雲端服務頁，讓防護系統誤判郵件無害，順利入信箱。真人點擊，則直奔釣魚頁。KnowBe4觀察，此機制甚至騙過Web應用防火牆（WAF），層層突破安全。「這讓攻擊繞過多層防護，」研究員寫道。台灣趨勢科技資安專家分析，類似工具已在本港現蹤，2025年第三季釣魚事件漲30%，多針對雲端帳戶。

 

為何此工具如此氾濫？開源與自動化趨勢是推手。過去釣魚需黑客級編程，如今平台化如SaaS，降低門檻，放大攻擊體量。相關事件如親俄駭客用Linux虛擬機藏身Windows，或RondoDox殭屍網針對Edge漏洞的「散彈槍」攻擊，皆顯示低階威脅升級。對台灣供應鏈企業，如台積電或鴻海，使用Microsoft 365協作，若員工中招，恐洩露專利或訂單，引發國際糾紛。

 

防禦之道，需升級思維。KnowBe4建議，區分整合雲端郵件安全與傳統SEG，前者善用自然語言處理（NLP）與理解（NLU），分析郵件脈絡，偵測冒充與重導。結合域名/URL分析、冒充偵測，可戳破智能繞道。另須確保郵件安全與WAF具URL過濾，阻斷量子路由路徑。沙箱技術—內部或託管服務—則模擬執行可疑郵件，攔截隱藏威脅。

 

台灣可借鏡國際。數位發展部（數發部）應擴大「資安意識月」，推廣免費NLP工具如Proofpoint或Mimecast，補助中小企業部署沙箱。金管會已於2025年修訂指引，要求金融機構整合ICES，定期演練釣魚。企業如中華電信，可開發本土WAF模組，針對亞太攻擊模式優化。使用者教育至關重要：訓練辨識QR碼陷阱、驗證發件人，避免點擊可疑附件。資安公司Palo Alto Networks台灣分公司預測，「若不升級，2026年釣魚損失將翻倍。」

 

量子路由重定向的崛起，凸顯AI與自動化雙刃劍：便利犯罪，亦助防禦。KnowBe4研究員呼籲，「防禦者須跟上腳步，強化郵件態勢。」在台灣數位轉型浪潮中，這場戰役非僅技術角力，更是人文防線。政府、企業與個人聯手，方能築牢雲端堡壘，阻絕低階威脅的全球蔓延。及時行動，台灣才能在信安戰場立於不敗。

 

出處：本新聞參考自Elizabeth Montalbano於2025年11月12日發表於Dark Reading的報導《Phishing Tool Uses Smart Redirects to Bypass Detection》。