根據(jù)Softnext守內(nèi)安與ASRC研究中心的觀察，近期黑客最常運用的三大郵件攻擊手法為：Office漏洞入侵、離線釣魚攻擊（Offline Phishing），以及惡意VBA攻擊。事實上這三種攻擊入侵手法都是老把戲，雖然運用的技術(shù)各有不同，但是搭配戰(zhàn)術(shù)都是透過精心設(shè)計的社交工程郵件對使用者設(shè)下騙局；并且在三個之中就有兩個是利用微軟的Office發(fā)動的攻擊。

　　Top1. 利用Office漏洞發(fā)動攻擊，只要打開文檔就受黑

　　黑客透過電子郵件遞送特制的Word或RTF格式附件，搭配社交工程手法誘騙使用者開啟。只要使用者開啟附件，便會觸發(fā)OLE漏洞或方程式漏洞，自動執(zhí)行內(nèi)嵌的惡意指令從遠方下載并植入惡意程序，使攻擊者可取得受感染電腦的控制權(quán)，借以發(fā)動其他惡意攻擊。

　　OLE漏洞（CVE20144114）與方程式漏洞（CVE201711882）并非嶄新的漏洞，但這些舊漏洞經(jīng)過時間證明，足夠「經(jīng)典」并且「穩(wěn)定」、「可被觸發(fā)」，只要能夠成功引起使用者的好奇，一旦附件被開啟，不需要使用者再配合執(zhí)行其他動作，漏洞便會觸發(fā)執(zhí)行惡意程序，黑客便能取得電腦掌控權(quán)。

　　雖然微軟已發(fā)布漏洞修補更新，但是仍然有許多使用者因為沒有定期更新的習慣，或是因為使用盜版軟件而無法更新、或擔心更新后有些功能無法使用…等理由而未更新，因此讓黑客有機可乘，讓這類手法榮登黑客愛用榜第一名。

　　Top2. 離線釣魚（Offline Phishing），繞過上網(wǎng)安全軟件與瀏覽器的釣魚防護

　　黑客將釣魚網(wǎng)頁以.html或.mht附件的形式，透過電子郵件遞送給使用者，將釣魚網(wǎng)頁直接呈現(xiàn)在受害者的本地端電腦。當使用者上勾填入敏感數(shù)據(jù)時，便以Post方法將數(shù)據(jù)傳送出去。因為傳送Post到外部的行為不會受到瀏覽器URL檢測的保護阻擋，可成功繞過瀏覽器及部份上網(wǎng)安全軟件的釣魚防護，增加黑客釣魚成功的機會，榮登黑客愛用榜第二名。

　　Top3. VBA攻擊，自動判定操作系統(tǒng)以決定接下來的攻擊手法

　　黑客在Word中置入惡意VBA，透過偽裝為收據(jù)、發(fā)票、教學文件等電子郵件發(fā)送，當使用者受騙開啟附件時，還會指導受害者開啟「啟用內(nèi)容」按鈕。并且可以自動判定所使用的操作系統(tǒng)環(huán)境為Windows或是Mac OS X再決定接下來要下載的攻擊工具。還以為使用Mac就不會中毒嗎？當MacOS用戶變多后，Mac就與Windows一樣，是符合經(jīng)濟效益的攻擊標的！這個攻擊與本文第一名的攻擊工具同樣都是針對微軟Office進行攻擊，不過在文檔開啟后還需要使用者再次配合按下啟用內(nèi)容，名列黑客愛用榜第三名。

　　雖然最常用的攻擊工具可歸納為上述三種，然而黑客搭配運用的社交工程手法千變?nèi)f化，瞄準人性弱點透過各種佯裝與欺騙伎倆，誘導使用者配合執(zhí)行動作或提供帳號密碼及其他機敏數(shù)據(jù)。

　　Softnext守內(nèi)安提醒，只要使用者能夠把握幾個原則，便能避免郵件攻擊帶來的傷害：

　　1.保持系統(tǒng)與軟件的更新

　　2.不開啟來路不明的附件

　　3.面對來信要求填寫機敏數(shù)據(jù)、要求登入認證的郵件時，應保持高度懷疑的心態(tài)。

　　此外，光是要求使用者提升安全意識是不夠的，企業(yè)也應當提供使用者較安全的電子郵件使用環(huán)境，以降低被黑風險。