回到上一頁

釣魚攻擊降兩成 精準化狙擊財損飆

2026-06-12
攻擊的威脅樣貌正經歷一場寧靜卻致命的「質變」。過去,資安界普遍擔憂人工智慧(AI)的普及會導致釣魚郵件數量呈現爆炸性增長;然而,最新數據卻跌破眾人眼鏡:全球釣魚攻擊總量不僅沒有狂飆,反而連續兩年顯著下滑。但別高興得太早,因為儘管攻擊數量減少,企業與個人所面臨的財務損失與風險卻創下歷史新高。駭客組織正將策略從「亂槍打鳥」轉向「精準狙擊」,利用 AI 提升單次攻擊的殺傷力與轉換率。
 

駭客策略質變:從「亂槍打鳥」到「精準狙擊」

根據國際資安大廠 Zscaler 於 2026 年最新發布的《年度網路釣魚與初始存取報告》(2026 Phishing and Initial Access Report),研究人員指出,當前的網路威脅趨勢不應被單純解讀為「攻擊減少」,而是一場深度的「策略重組(Rebalancing)」。
 
在 ChatGPT 等大型語言模型(LLM)問世的頭一年,Zscaler 確實曾觀察到釣魚活動激增了 58%。當時外界理所當然地認為,這類強大且易於使用的 AI 工具,將讓外籍駭客能輕易跨越語言障礙,自動化生成海量且語法完美的誘餌郵件。然而,在此歷史高點之後,趨勢線卻出現反轉:2024 年全球釣魚攻擊量下降了 20%,到了 2025 年又進一步下跌了 20%。
 
Zscaler 威脅情資資深總監 Brett Stone-Gross 本週在拉斯維加斯舉辦的 Zenith Live 展會上接受外媒專訪時表示,這種數量的下滑未必全與 AI 直接相關,而是駭客的商業模式變得更加「挑剔」。
 
「與其進行大規模的無差別發送,他們現在更傾向於發動針對性極高的目標式攻擊。這雖然需要投入更多的前期心力與資源進行情蒐,但最終的回報率卻遠超以往。」Stone-Gross 解釋。
 
他以勒索軟體(Ransomware)的演進歷程作為對照:「在早期,勒索軟體駭客是全面撒網的。他們可能會將惡意軟體植入一位老奶奶的電腦,只為了勒索她 150 美元來換回孫子的照片。他們靠著無數筆這樣的小額贖金積少成多。但現在,一切都變得高度針對性,駭客轉向『狩獵大象』(Big Game Hunting),專門鎖定大型企業,一次勒索數百萬美元,這遠比從一百萬人身上各騙取 150 美元要有效率得多。」網路釣魚的演進,正完美複製了這套獲利邏輯。
 

驚人數據:FBI 報告揭露財損暴增三倍

駭客的這套「重質不重量」新戰略,已經在受害者的財務損失上得到了殘酷的印證。
 
根據美國聯邦調查局(FBI)旗下網路犯罪投訴中心(IC3)所發布的《2025 年網路犯罪報告》,儘管 2024 年與 2025 年 FBI 接獲的網路釣魚投訴案件數量幾乎持平,但受害者的總體財務損失卻呈現爆炸性成長——從 2024 年的 7,000 萬美元,暴增至 2025 年的 2.15 億美元,足足翻了三倍之多。
 
若將時間距拉長來看,對比尤為強烈。在 2023 年時,FBI 接獲的釣魚相關投訴量比 2024 年與 2025 年高出了 50%,但當年造成的總損失卻僅有 1,800 萬美元。報案數量與實際財損之間的巨大「剪刀差」,毫無懸念地證明了單一釣魚攻擊的「含金量」正在急遽上升。駭客不再浪費時間騙取零星的點數卡或小額匯款,而是直接瞄準企業的財務高管、供應鏈結算系統或是高權限的 IT 管理員帳號,進行高額的商業電子郵件詐騙(BEC)或為後續的系統入侵鋪路。
 

產業與地緣板塊大洗牌:服務業、政府單位成重災區

除了攻擊手法的精進,駭客鎖定的目標產業也在 2025 年出現了巨大的板塊位移。
 
報告顯示,服務業(Services Sector)成為駭客眼中的一塊肥肉,針對該產業的釣魚攻擊在一年內飆升了 66%;政府部門(Government)的受攻擊次數也大幅增加了 50%。相比之下,教育機構(Education)的受攻擊量則急遽下降了 66%。資安專家分析,服務業往往涉及大量的供應商合約、客戶金流以及跨國結算流程,這些充滿「信任機制」的日常業務,為高度擬真的釣魚郵件提供了最完美的掩護。
 
在國家與地區方面,多數國家的資安防禦似乎取得了不錯的成效,釣魚活動明顯退潮。例如加拿大驟降了 64%,西班牙減少 53%,而澳洲、德國、印度與英國也都有約 33% 的降幅。美國本土的攻擊量則微幅下降了 13%。
 
然而,攻擊來源地的基礎設施卻出現了極端的變化。駭客正迅速轉移他們的主機代管陣地,來自巴西的惡意代管服務使用率暴增了驚人的 2,522%;相反地,過去常被用作跳板的香港,其惡意活動佔比則大幅衰退了 90%。
 

雲端服務淪為幫兇?AWS 基礎設施遭大量濫用

在此次調查中,最令資安界感到棘手的一個全球性趨勢是:駭客正大規模地將釣魚網站與惡意基礎設施遷移至合法的公共雲端服務上。其中,亞馬遜的 Amazon Web Services(AWS)被濫用的情況最為嚴重。
 
根據 Zscaler 誘餌系統(Decoys)所攔截到的駭客 IP 來源數據,高達 76% 的攻擊 IP 均隸屬於 AWS 的位址空間。
 
為何全球最大的雲端服務供應商會淪為駭客的首選武器庫?Stone-Gross 點出了幾個核心原因:
 
首先是「成本與便利性」。AWS 的運算執行個體價格低廉,且任何人都可以輕易、快速地註冊並啟動雲端資源,不需要從零開始架設地下伺服器。「不僅品質優良、連線速度極快,駭客甚至完全不需要擔心網站會因為流量過載而當機,」他補充道。
 
其次是「審查量能的極限」。Stone-Gross 直言:「我認為亞馬遜負責處理違規濫用的部門可能已經不堪重負。我不僅在網路釣魚中看到這種情況,在其他類型的網路威脅中也屢見不鮮,有太多惡意內容被託管在 AWS 上了。」
 
最後,也是最致命的一點:「防禦盲區」。企業的資安防護系統幾乎不可能將整個 AWS 的 IP 網段列入黑名單,因為這會導致公司內部正常使用的合法雲端服務(如各大企業的網站、API 介面或 SaaS 應用)同時停擺。駭客正是利用了這種「大到不能擋」的護身符,成功繞過了傳統的網路邊界防禦。
 
當被問及「IP 黑名單」在現今的防禦中是否還有用武之地時,Stone-Gross 給出了一個模稜兩可的答案:「是,也不是。」他解釋,若是來自已知專用惡意 IP 的犯罪活動,黑名單依然有效;但如果在雲端「共享主機(Shared Hosting)」的環境下進行封鎖,就會引發嚴重的誤殺問題。「整體而言,現代資安防禦必須仰賴更具體的行為特徵資訊,單靠一個 IP 位址,已經不足以作為判斷善惡的唯一標準。」
 

結論與台灣企業因應之道

面對「量減質精」的網路釣魚新常態,台灣企業的資安團隊必須拋棄過去「看阻擋數量」的傳統指標迷思。當一封經過 AI 精心雕琢、偽裝成重要客戶合約更新的釣魚郵件,悄悄滑過閘道器時,它的破壞力將遠勝過一萬封拙劣的傳統詐騙信。企業唯有持續推行零信任(Zero Trust)架構,強化防釣魚的多重身分驗證(如 FIDO2 實體金鑰),並落實內部員工的情境式資安演練,才能在這場 AI 賦能的矛與盾對決中,穩守企業的安全防線。
 

引用來源

 
  • 《Dark Reading》產業報導,記者 Nate Nelson 於 2026 年 6 月 12 日發布之文章《Phishing Attack Volume Down 20%, but Risk Still Rising》。
  • 網頁搜尋: Zscaler 官方發布之《ThreatLabz 2026 Phishing and Initial Access Report》(2026 年度網路釣魚與初始存取報告),提供釣魚攻擊量連續下降 20%、AWS 雲端基礎設施遭濫用等核心調查數據。官方連結
  • 網頁搜尋: 美國聯邦調查局(FBI)網路犯罪投訴中心(IC3)官方《2025 Internet Crime Report》(2025 年網路犯罪報告),提供釣魚詐騙財損由 7,000 萬暴增至 2.15 億美元之官方統計數據。官方連結