針對性社交工程攻擊：偽冒主管誘騙建群組與洩漏個資之防範

近期事件概況

2025 年 12 月 9 日，TWCERT/CC 公布多筆偽冒內部主管的社交工程郵件，內容要求收件者建立 LINE 群組並上傳 QR Code，或提供員工個資清單。該類郵件多以「主管指示」為誘餌，且寄件者使用免費信箱，易於偽裝 (TWCERT)。另一份 iThome 報導指出，攻擊者將此手法與財務匯款結合，透過 LINE 群組施壓要求立即匯款至境外帳戶，造成企業重大損失 (iThome)。

攻擊手法拆解

此類攻擊主要運用「假託（Pretexting）」與「釣魚（Phishing）」兩種技術。假託以偽冒高層身份，藉由權威與緊急感降低員工防範意識；釣魚則利用看似正常的連結或附件，誘使用戶點擊或上傳敏感資料 (HiYun)。在攻擊生命週期中，攻擊者先進行背景調查，收集內部聯絡名單，接著發送偽裝郵件作為誘餌，最後透過 LINE 群組或即時通訊進行資料收集或匯款指示 (iThome)。

防護策略與實務落地

• 內部訓練與演練：定期舉辦針對「偽冒主管」情境的社交工程演練，提升員工辨識能力 (TWCERT)。
• 多因子認證（MFA）：即使帳號被複製，攻擊者仍需擁有第二層驗證，降低資料外洩風險 (TWCERT)。
• 郵件過濾規則：設定 SPF、DKIM、DMARC 並封鎖來自免費信箱的「公務郵件」，或將此類郵件標記為可疑 (HiYun)。
• 即時通訊管控：公司內部使用的即時通訊工具（如 LINE）應實施「群組加入審核」流程，必要時以單獨通道確認邀請者身份 (iThome)。
• 資料最小化原則：只在必要時收集個資，並在使用後即時刪除，降低被盜用機會 (NCU PDF)。

技術防護措施

• 郵件安全網關：部署可識別釣魚郵件的安全網關，並使用行為分析技術偵測異常郵件送達模式。
• 即時通訊監控：利用訊息記錄與分析工具，監控群組內部的異常操作或高頻率的匯款指示。
• 端點保護：確保員工端點安裝最新防毒軟體與自動更新，防止惡意附件執行。
• 審計與告警：建立帳號登入、群組加入與匯款指示的審計日誌，並設定異常告警機制，以便快速偵測與回應。
• 使用 HCL Domino 等企業郵件系統時，啟用「郵件簽章」與「內容過濾」功能，提升郵件來源驗證。

組織流程與政策

根據 NCU 資訊管理中心的工作說明，企業應在「資訊安全責任」與「帳號密碼管理」章節中明確規範內部郵件與即時通訊的使用條件，並將「偽冒主管」相關風險納入安全政策，要求所有主管與員工在接收任何看似指示性郵件時，先透過電話或內部通訊確認資訊真實性 (NCU)。此外，離職或轉調人員應即時註銷帳號並回收憑證，避免帳號被利用。

MITRE ATT&CK 對應

• T1566.001 – Spearphishing Attachment
• T1566.002 – Spearphishing Link
• T1621 – Pretexting
• T1622 – Baiting
• T1078 – Valid Accounts (帳號被盜用後進行後續攻擊)

結論與建議

偽冒主管的社交工程攻擊雖不含傳統惡意程式，卻以人為弱點為突破口，能迅速取得個資或誘導匯款。企業必須從內部訓練、技術防護與流程設計三個層面同步加強，才能有效降低此類攻擊造成的損失。持續更新威脅情報、加強郵件與即時通訊的安全控管，以及建立快速回應機制，將是未來防禦的關鍵。

參考資料與原文來源

• TWCERT/CC (2025-12-09) – 提高社交工程警覺！偽冒主管要求建群組與提供個資。
• iThome (2025) – 假冒高層要求建立 LINE 群組的社交工程詐騙，手法解析與防範建議。
• HiYun (2025) – 社交工程攻擊是什麼？認識七大攻擊手法、三大防範策略。
• Cloudforce (2025) – 社交工程是什麼？被攻擊該如何防範？5 大資安攻擊和防範手法一次知。
• NCU (2025) – 資訊安全工作說明 v1.3。

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。