根據(jù)Softnext守內(nèi)安與ASRC研究中心的觀察，近期黑客最常運(yùn)用的三大郵件攻擊手法為：Office漏洞入侵、離線釣魚(yú)攻擊（Offline Phishing），以及惡意VBA攻擊。事實(shí)上這三種攻擊入侵手法都是老把戲，雖然運(yùn)用的技術(shù)各有不同，但是搭配戰(zhàn)術(shù)都是透過(guò)精心設(shè)計(jì)的社交工程郵件對(duì)使用者設(shè)下騙局；并且在三個(gè)之中就有兩個(gè)是利用微軟的Office發(fā)動(dòng)的攻擊。

　　Top1. 利用Office漏洞發(fā)動(dòng)攻擊，只要打開(kāi)文檔就受黑

　　黑客透過(guò)電子郵件遞送特制的Word或RTF格式附件，搭配社交工程手法誘騙使用者開(kāi)啟。只要使用者開(kāi)啟附件，便會(huì)觸發(fā)OLE漏洞或方程式漏洞，自動(dòng)執(zhí)行內(nèi)嵌的惡意指令從遠(yuǎn)方下載并植入惡意程序，使攻擊者可取得受感染電腦的控制權(quán)，借以發(fā)動(dòng)其他惡意攻擊。

　　OLE漏洞（CVE20144114）與方程式漏洞（CVE201711882）并非嶄新的漏洞，但這些舊漏洞經(jīng)過(guò)時(shí)間證明，足夠「經(jīng)典」并且「穩(wěn)定」、「可被觸發(fā)」，只要能夠成功引起使用者的好奇，一旦附件被開(kāi)啟，不需要使用者再配合執(zhí)行其他動(dòng)作，漏洞便會(huì)觸發(fā)執(zhí)行惡意程序，黑客便能取得電腦掌控權(quán)。

　　雖然微軟已發(fā)布漏洞修補(bǔ)更新，但是仍然有許多使用者因?yàn)闆](méi)有定期更新的習(xí)慣，或是因?yàn)槭褂帽I版軟件而無(wú)法更新、或擔(dān)心更新后有些功能無(wú)法使用…等理由而未更新，因此讓黑客有機(jī)可乘，讓這類手法榮登黑客愛(ài)用榜第一名。

　　Top2. 離線釣魚(yú)（Offline Phishing），繞過(guò)上網(wǎng)安全軟件與瀏覽器的釣魚(yú)防護(hù)

　　黑客將釣魚(yú)網(wǎng)頁(yè)以.html或.mht附件的形式，透過(guò)電子郵件遞送給使用者，將釣魚(yú)網(wǎng)頁(yè)直接呈現(xiàn)在受害者的本地端電腦。當(dāng)使用者上勾填入敏感數(shù)據(jù)時(shí)，便以Post方法將數(shù)據(jù)傳送出去。因?yàn)閭魉蚉ost到外部的行為不會(huì)受到瀏覽器URL檢測(cè)的保護(hù)阻擋，可成功繞過(guò)瀏覽器及部份上網(wǎng)安全軟件的釣魚(yú)防護(hù)，增加黑客釣魚(yú)成功的機(jī)會(huì)，榮登黑客愛(ài)用榜第二名。

　　Top3. VBA攻擊，自動(dòng)判定操作系統(tǒng)以決定接下來(lái)的攻擊手法

　　黑客在Word中置入惡意VBA，透過(guò)偽裝為收據(jù)、發(fā)票、教學(xué)文件等電子郵件發(fā)送，當(dāng)使用者受騙開(kāi)啟附件時(shí)，還會(huì)指導(dǎo)受害者開(kāi)啟「啟用內(nèi)容」按鈕。并且可以自動(dòng)判定所使用的操作系統(tǒng)環(huán)境為Windows或是Mac OS X再?zèng)Q定接下來(lái)要下載的攻擊工具。還以為使用Mac就不會(huì)中毒嗎？當(dāng)MacOS用戶變多后，Mac就與Windows一樣，是符合經(jīng)濟(jì)效益的攻擊標(biāo)的！這個(gè)攻擊與本文第一名的攻擊工具同樣都是針對(duì)微軟Office進(jìn)行攻擊，不過(guò)在文檔開(kāi)啟后還需要使用者再次配合按下啟用內(nèi)容，名列黑客愛(ài)用榜第三名。

　　雖然最常用的攻擊工具可歸納為上述三種，然而黑客搭配運(yùn)用的社交工程手法千變?nèi)f化，瞄準(zhǔn)人性弱點(diǎn)透過(guò)各種佯裝與欺騙伎倆，誘導(dǎo)使用者配合執(zhí)行動(dòng)作或提供帳號(hào)密碼及其他機(jī)敏數(shù)據(jù)。

　　Softnext守內(nèi)安提醒，只要使用者能夠把握幾個(gè)原則，便能避免郵件攻擊帶來(lái)的傷害：

　　1.保持系統(tǒng)與軟件的更新

　　2.不開(kāi)啟來(lái)路不明的附件

　　3.面對(duì)來(lái)信要求填寫(xiě)機(jī)敏數(shù)據(jù)、要求登入認(rèn)證的郵件時(shí)，應(yīng)保持高度懷疑的心態(tài)。

　　此外，光是要求使用者提升安全意識(shí)是不夠的，企業(yè)也應(yīng)當(dāng)提供使用者較安全的電子郵件使用環(huán)境，以降低被黑風(fēng)險(xiǎn)。