83 億封釣魚信狂襲!微軟示警:QR Code、假驗證成駭客新武器
據微軟最新公布《2026 年第一季電子郵件威脅態勢報告》指出,電子郵件仍為網路攻擊的主要入侵管道之一,攻擊手法也在短時間內出現明顯轉變。據 Microsoft Threat Intelligence 觀測,2026 年第一季共偵測到約 83 億次以電子郵件為載體的網路釣魚攻擊,顯示攻擊規模持續維持高檔。
報告顯示,攻擊者正加速調整技術以規避偵測並竊取帳號憑證。其中,QR Code 釣魚(俗稱 Quishing)成為成長最快的攻擊手法,第一季增幅達 146%,並已成為主要攻擊趨勢之一。攻擊者多將 QR Code 嵌入 PDF 附件中,藉此躲避傳統安全掃描機制,相關手法在整體 QR 攻擊中的占比由 1 月的約 65% 提升至 3 月的 70%。
(Source:微軟)
除 QR Code 外,攻擊者亦開始將 CAPTCHA 驗證機制轉為攻擊工具。報告指出,3 月此類攻擊出現 125% 成長,單月攻擊次數達 1,190 萬次。這類手法通常透過偽裝為正常驗證流程,引導使用者進行操作,並藉此繞過自動化防護與偵測機制。
在攻擊目標方面,憑證竊取仍為主要目的。報告指出,以有效負載為基礎的攻擊中,有高達 89% 至 95% 以帳號憑證為目標,顯示攻擊重心已從傳統惡意軟體散布,轉向帳號與身份存取控制。同時,電子郵件威脅中約 78% 為連結型攻擊,顯示攻擊者更傾向透過外部網站進行誘導。
此外,報告亦指出,釣魚攻擊已逐漸「服務化」,所謂 phishing-as-a-service(釣魚即服務)模式,讓攻擊工具與基礎設施可被重複使用與販售,使攻擊門檻進一步降低。其中,名為 Tycoon2FA 的平台即為代表案例之一,提供完整釣魚工具套件供攻擊者部署。
針對此類威脅,微軟數位安全中心(Digital Crimes Unit,DCU)於 2026 年 3 月聯合相關單位,對 Tycoon2FA 平台進行打擊行動,並成功使相關攻擊活動在當月下降約 15%。
報告顯示 2026 年第一季電子郵件威脅仍維持高強度,且攻擊手法持續演變,從 QR Code、假驗證頁面到憑證竊取,均成為主要攻擊途徑。
(首圖來源:pixabay)