2018年的重大资安议题，包括CPU快取安全漏洞、挖矿以及虚拟货币窃案、脸书泄密与剑桥分析事件，当然也少不了利用这些议题进行的电子邮件攻击：CPU安全漏洞公布後，2018年一月即出现重大漏洞更新的网钓邮件，佯称可下载并安装修补程式，但实际上为木马程式Smoke Loader。

ASRC发表2018邮件安全分析回顾 电子邮件攻击只会变形不会绝迹

虚拟货币交易平台Binance，以及日本虚拟货币交易所Coincheck都曾遭受过钓鱼邮件的攻击，後者因此蒙受了巨大的损失；以脸书、 Apple等知名公司名义发送的钓鱼邮件更是经常可见，受害用户并无法直接分辨这些钓鱼邮件的可信度，尤其当自己有使用相关服务时，多半都很容易成为上钩的对象。邮件安全已成为各种资安措施中，最基础且无法忽视的重要环节。

根据中华数位与ASRC的观察，2018年四大邮件攻击分别为：漏洞利用、钓鱼邮件、诈骗邮件与恐吓邮件。仔细观察便可发现，这些都不是什麽崭新的攻击手法，却持续为骇客所用，虽然运用的技术各有不同，却都是搭配精心设计的社交工程手法而设下的骗局。

为了提高成功入侵的机率，骇客透过电子邮件发动的攻击只会不断变形不会绝迹。光是要求使用者提高警觉来防御多变的邮件攻击已经不足，企业应提供使用者相较安全的电子邮件使用环境，以降低被攻击的风险。

2018四大邮件攻击重点摘要

漏洞利用攻击

漏洞的利用通常是 APT 攻击的前奏，取得受害者电脑控制权，便能进行窃资或向内攻击的利用。常见OLE 漏洞 (CVE-2014-4114) 与方程式漏洞 (CVE-2017-11882)。因为经典稳定，加上使用者多半没有定期更新的习惯，这些漏洞仍会持续被利用。

钓鱼邮件攻击

低技术高报酬，只要钓到几个有用的帐号密码，就能观察受害者通信往来情况，攻击与受害者的联络对象。2018年3月出现大量带有.url压缩附档的攻击，只要「选取」档案就会泄漏敏感资讯，还有可能还原使用者密码做进一步攻击

BEC诈骗攻击

与APT有着相同的特性：一旦被骇客盯上就有可能重复发生。金融、高科技制造、制造是最常遭受 BEC 诈骗邮件攻击的产业。特定企业每一到两个月就会遭到 1~2 次 BEC 邮件攻击，且攻击持续3个月以上。

恐吓邮件攻击

比勒索更简单，无需夹带恶意档案或程式码，纯??透过心理恐吓使人言听计从。恐吓名单多由社群网站或是大规模泄漏事件中取得。目的多在骗取虚拟货币。