Sangfor 應急響應工程師近期在處理多宗應急響應(Incident Response)個案時,發現一個值得企業高度重視的趨勢:黑客的入侵手法,正由傳統電郵釣魚,逐步轉向更具欺騙性、也更貼近日常工作流程的協作平台攻擊。
作為 Sangfor IR Team 的其中一員,在筆者看來,這不是一次簡單的攻擊手法升級,而是黑客對企業防守習慣的一次精準利用。很多企業已經在郵件安全、防毒、連結檢測上投入大量資源,但對 Microsoft Teams 這類日常協作工具的警覺性,仍然明顯不足。黑客正是看準了這個心理落差,繞過傳統郵件安全過濾系統,直接把攻擊送到員工最習慣、也最容易放下戒心的地方。
本文希望拆解這條從「會議邀約」到「財務詐騙」的完整攻擊鏈,同時分享對這類事件的幾點實務判斷,提醒企業管理層、資訊保安負責人,以及前線員工,不要再把協作平台視為天然可信的內部空間。
入侵流程解析:從線上會議到帳戶劫持
從近期觀察到的個案來看,黑客的攻擊路徑已經相當成熟,而且每一步都圍繞一個核心原則:不急於破壞,而是先取得信任,再利用信任變現。
1. 突破常規:Teams 會議邀約釣魚
黑客先註冊合法的微軟帳號,成為 Teams 用戶,然後直接向受害者發送會議預約。表面看,這只是一個普通的商務邀約;但實際上,邀請中的「會議連結」往往指向惡意文檔下載地址。
這種做法最危險的地方,不是技術有多高深,而是它非常符合現代辦公習慣。很多員工看到陌生郵件還會多看一眼,但看到 Teams 訊息或會議邀請,往往會下意識認為「應該是工作相關」。這正是企業今天最需要修正的一個認知:協作工具並不等於可信來源,能進到 Teams 的訊息,也完全可以是釣魚。
2. 傳統郵件釣魚並行
值得注意的是,黑客並沒有放棄傳統電郵釣魚,而是採取並行策略,同時發送偽裝成商業資料、付款通知或合作文件的釣魚文檔。
這反映出一個很現實的問題:黑客不再押注單一入口,而是開始做「多渠道測試」,哪一個入口成功率高,就從哪裡進去。從防守角度來看,這意味著企業如果只在郵件層面加強防護,而忽略 Teams、即時通訊工具或文件分享平台,防線依然是不完整的。
3. 二維碼與偽造認證介面:MFA 也可能被繞過
在這些惡意文檔中,常見手法是藏入一個二維碼。受害者掃描後,會被導向偽造的公司 Outlook 登入頁面。當受害者輸入帳號密碼後,頁面還會進一步要求輸入 SMS 驗證碼。
這一點尤其值得企業警惕。很多管理層以為只要開啟多重身分驗證(MFA)就已經足夠安全,但從實戰經驗來看,這種想法已經過時。若黑客正在進行即時的對手中間人攻擊(Adversary-in-the-Middle, AitM),SMS 驗證碼同樣可能被攔截和利用,MFA 權杖也可能被盜取。
換句話說,MFA 很重要,但不是萬能。如果企業仍然把 SMS 驗證碼視為高強度防護,那麼在今天的攻擊環境下,這其實是一種危險的安全幻覺。
4. 帳戶滲透後,先偵察,再下手
黑客成功登入受害者郵箱後,通常不會立刻做出明顯動作。他們更常見的做法,是先靜默監控受害者的通訊內容,並利用關鍵字如「payment」、「bill」、「帳單」、「回款」等,搜尋財務相關郵件。
從攻擊者角度來看,這一步非常聰明。因為他們真正的目標,往往不是單純取得一個郵箱帳號,而是找出這個帳號背後能帶來金錢價值的業務流程、付款關係和授權鏈條。這也是為甚麼很多企業事後回頭看,會發現帳戶早就被入侵一段時間,只是一直沒有立即出現明顯異常。
筆者認為,這類事件最容易被低估的一點,就是大家太習慣把「入侵」理解為會馬上出現勒索、刪檔、停機等破壞行為;但實際上,今天不少高回報攻擊更像是潛伏型商業欺詐,安靜、精準,而且更難察覺。
5. 最終目的:執行財務詐騙(BEC)
當黑客摸清楚企業內部的付款節奏和商業往來後,便會利用受害者的真實郵箱,向供應商、客戶或財務人員發信,聲稱銀行帳戶或收款資訊已經更改,要求對方將款項轉入新的帳戶。
這就是典型的商業電郵詐騙(Business Email Compromise, BEC)。而它之所以危險,是因為這類郵件通常來自真實地址,沿用真實郵件線索,甚至延續原本的商業對話內容。很多時候,收件人不是沒有安全意識,而是根本想不到自己看到的,竟然已經是黑客接管後發出的內容。
BEC 之所以持續有效,不是因為企業完全不懂技術,而是因為它利用的是「信任流程」而不是單一系統漏洞。黑客攻擊的不是某一台主機,而是企業日常運作中默認存在的信任鏈。
企業防守的幾點建議
針對這種混合 Teams、二維碼與帳戶劫持的新型攻擊,企業不能再只靠傳統「不要亂點電郵」這種過於簡化的安全教育,而應該把防守重點放回真實工作場景。
第一,重新定義「可疑來源」
員工不只要提防陌生郵件,也要提防非預期的 Teams 會議邀請、聊天訊息和文件分享。凡是與當前業務情境不符、來源模糊、要求立即點擊或下載的內容,都應視為可疑。
我會特別提醒企業:不要再把 Teams 當成天然安全區。 今天的黑客已經非常了解員工的使用習慣,也知道大家在哪裡最沒有戒心。
第二,把二維碼納入釣魚培訓範圍
過去很多安全培訓重點仍停留在「不要亂點連結」,但現在攻擊者已經大量利用二維碼把惡意跳轉從螢幕轉移到手機,藉此避開部分安全檢測與員工警覺。
因此,企業必須明確教育員工:文件內要求掃碼登入、驗證、更新帳戶資訊的操作,原則上都應先被視為高風險。
第三,升級 MFA,而不是只滿足於「有 MFA」
如果企業仍主要依賴 SMS 驗證碼,應盡快評估更高強度的認證方式,例如 FIDO2 安全金鑰,或具備上下文綁定能力的認證 App。原因很簡單:當攻擊者已經能做即時釣魚時,弱 MFA 的防護效果其實非常有限。
企業今天需要追求的,不是「形式上有第二道驗證」,而是「第二道驗證是否真的難以被中途攔截與濫用」。
第四,財務流程一定要有離線覆核
所有涉及銀行帳戶變更、付款路徑調整、收款資訊更新的要求,都不應只靠郵件確認。最穩妥的做法,是要求財務或業務人員透過已知電話、既有聯絡方式,或其他離線渠道進行二次核實。
坦白說,這類制度有時會被嫌麻煩,但和一次錯誤匯款造成的直接損失相比,這點麻煩其實非常值得。很多 BEC 事件最後能否被攔下,靠的不是高級技術,而是是否有人願意多打一通電話。
結語:今天真正危險的,不是新工具,而是舊信任
從這些事件中,筆者最深的感受是:黑客並不是單純在「找漏洞」,而是在重新設計一條符合企業日常流程的欺詐路徑。他們知道員工相信甚麼、依賴甚麼、忽略甚麼,然後就從那些地方切入。
所以,企業今天最需要更新的,不只是防毒、過濾器或認證機制,更是對「信任」這件事的管理方式。電郵、Teams、文件連結、二維碼、內部對話,這些都不應再被默認為安全。只要能影響付款、登入或敏感資料流轉的環節,都應被納入同一套風險視角去看待。
警覺性仍然是防禦的第一道防線,但在今天,這種警覺性不能只是口號,而必須變成員工真正理解、能夠落地執行的判斷能力。
撰文:周全(Sangfor IR Team 專家)
