相信大家已習慣每日都收到大量釣魚（Phishing）電郵或訊息，雖然大部分都會被安全系統過濾，但仍然有不少漏網之魚，需要收件者自行識別是否可疑，加上黑客近年傾向利用人工智能（AI）去編寫釣魚電郵或訊息內容，提升精準度，所以很多時收件者真的很難分辨真偽。

在 Cofense 的報告中，歸納了攻擊者撰寫電郵主題（Subject Line）的方式，列出了被釣魚攻擊瞄準最多的五個行業，分別是金融與保險；製造業；採礦、採石業及能源行業；醫療與社會援助行業，以及零售業。

當中以金融與保險業受到的攻擊最為嚴重，佔所有捕獲釣魚電郵的 15.5%。黑客通常會用相關的字眼作為主題，例如在主題加入發票和需要注意的表單，試圖令收件者相信電郵的合法性。常見的電郵主題包括「shared ‘Invoice20248904.pdf’ with you」、「Invoice from」及「ACH on 2024-06-28 For」等。

排第二位的是製造業，約佔 11.3%。報告內指出，由於該行業通常會互傳訂單和合同進行確認，黑客便利用這一點來設計相關的欺詐電郵，例如主題常見「Proposals from」、「File Shared By」或「NEW P.O. # 94153 from」等，企圖令收件者認為是需要立即處理的重要文件。

至於第三至第五的採礦、採石業及能源行業；醫療與社會援助行業，以及零售業，則分別佔 10.3%、8.2%及7.4%。當中最值得一提的是在醫療業的詐騙電郵中，黑客會假裝為醫療報告或健康數據共享的通知，令接獲的員工不得不打開電郵查看內容。

除了以上針對行業的數據及例子，Cofense 研究員又指出一些釣魚攻擊的常見趨勢與技術特徵。首先，黑客經常在電郵主題加入收件者的名字、電郵地址、電話號碼或公司名稱，以增加電郵的真實性。這種主題定制化手段大大提高收件者點擊的可能性。

此外，分析顯示釣魚電郵的攻擊量在 2023 年第三季度達到高峰。至於附件類型，最常見的惡意文件格式為 .HTM(L) (90.3%) 及 .DOC(X) (9.4%)，而在這些文件內通常包含嵌入式惡意編碼，在收到這類電郵時便要非常小心。

文章來源