Sangfor專欄｜當釣魚不再只靠電郵：拆解Teams會議邀約詐騙

Sangfor 應急響應工程師近期在處理多宗應急響應（Incident Response）個案時，發現一個值得企業高度重視的趨勢：黑客的入侵手法，正由傳統電郵釣魚，逐步轉向更具欺騙性、也更貼近日常工作流程的協作平台攻擊。

作為 Sangfor IR Team 的其中一員，在筆者看來，這不是一次簡單的攻擊手法升級，而是黑客對企業防守習慣的一次精準利用。很多企業已經在郵件安全、防毒、連結檢測上投入大量資源，但對 Microsoft Teams 這類日常協作工具的警覺性，仍然明顯不足。黑客正是看準了這個心理落差，繞過傳統郵件安全過濾系統，直接把攻擊送到員工最習慣、也最容易放下戒心的地方。

本文希望拆解這條從「會議邀約」到「財務詐騙」的完整攻擊鏈，同時分享對這類事件的幾點實務判斷，提醒企業管理層、資訊保安負責人，以及前線員工，不要再把協作平台視為天然可信的內部空間。

入侵流程解析：從線上會議到帳戶劫持

從近期觀察到的個案來看，黑客的攻擊路徑已經相當成熟，而且每一步都圍繞一個核心原則：不急於破壞，而是先取得信任，再利用信任變現。

1. 突破常規：Teams 會議邀約釣魚

黑客先註冊合法的微軟帳號，成為 Teams 用戶，然後直接向受害者發送會議預約。表面看，這只是一個普通的商務邀約；但實際上，邀請中的「會議連結」往往指向惡意文檔下載地址。

這種做法最危險的地方，不是技術有多高深，而是它非常符合現代辦公習慣。很多員工看到陌生郵件還會多看一眼，但看到 Teams 訊息或會議邀請，往往會下意識認為「應該是工作相關」。這正是企業今天最需要修正的一個認知：協作工具並不等於可信來源，能進到 Teams 的訊息，也完全可以是釣魚。

2. 傳統郵件釣魚並行

值得注意的是，黑客並沒有放棄傳統電郵釣魚，而是採取並行策略，同時發送偽裝成商業資料、付款通知或合作文件的釣魚文檔。

這反映出一個很現實的問題：黑客不再押注單一入口，而是開始做「多渠道測試」，哪一個入口成功率高，就從哪裡進去。從防守角度來看，這意味著企業如果只在郵件層面加強防護，而忽略 Teams、即時通訊工具或文件分享平台，防線依然是不完整的。

3. 二維碼與偽造認證介面：MFA 也可能被繞過

在這些惡意文檔中，常見手法是藏入一個二維碼。受害者掃描後，會被導向偽造的公司 Outlook 登入頁面。當受害者輸入帳號密碼後，頁面還會進一步要求輸入 SMS 驗證碼。

這一點尤其值得企業警惕。很多管理層以為只要開啟多重身分驗證（MFA）就已經足夠安全，但從實戰經驗來看，這種想法已經過時。若黑客正在進行即時的對手中間人攻擊（Adversary-in-the-Middle, AitM），SMS 驗證碼同樣可能被攔截和利用，MFA 權杖也可能被盜取。

換句話說，MFA 很重要，但不是萬能。如果企業仍然把 SMS 驗證碼視為高強度防護，那麼在今天的攻擊環境下，這其實是一種危險的安全幻覺。

4. 帳戶滲透後，先偵察，再下手

黑客成功登入受害者郵箱後，通常不會立刻做出明顯動作。他們更常見的做法，是先靜默監控受害者的通訊內容，並利用關鍵字如「payment」、「bill」、「帳單」、「回款」等，搜尋財務相關郵件。

從攻擊者角度來看，這一步非常聰明。因為他們真正的目標，往往不是單純取得一個郵箱帳號，而是找出這個帳號背後能帶來金錢價值的業務流程、付款關係和授權鏈條。這也是為甚麼很多企業事後回頭看，會發現帳戶早就被入侵一段時間，只是一直沒有立即出現明顯異常。

筆者認為，這類事件最容易被低估的一點，就是大家太習慣把「入侵」理解為會馬上出現勒索、刪檔、停機等破壞行為；但實際上，今天不少高回報攻擊更像是潛伏型商業欺詐，安靜、精準，而且更難察覺。

5. 最終目的：執行財務詐騙（BEC）

當黑客摸清楚企業內部的付款節奏和商業往來後，便會利用受害者的真實郵箱，向供應商、客戶或財務人員發信，聲稱銀行帳戶或收款資訊已經更改，要求對方將款項轉入新的帳戶。

這就是典型的商業電郵詐騙（Business Email Compromise, BEC）。而它之所以危險，是因為這類郵件通常來自真實地址，沿用真實郵件線索，甚至延續原本的商業對話內容。很多時候，收件人不是沒有安全意識，而是根本想不到自己看到的，竟然已經是黑客接管後發出的內容。

BEC 之所以持續有效，不是因為企業完全不懂技術，而是因為它利用的是「信任流程」而不是單一系統漏洞。黑客攻擊的不是某一台主機，而是企業日常運作中默認存在的信任鏈。

企業防守的幾點建議

針對這種混合 Teams、二維碼與帳戶劫持的新型攻擊，企業不能再只靠傳統「不要亂點電郵」這種過於簡化的安全教育，而應該把防守重點放回真實工作場景。

第一，重新定義「可疑來源」

員工不只要提防陌生郵件，也要提防非預期的 Teams 會議邀請、聊天訊息和文件分享。凡是與當前業務情境不符、來源模糊、要求立即點擊或下載的內容，都應視為可疑。

我會特別提醒企業：不要再把 Teams 當成天然安全區。 今天的黑客已經非常了解員工的使用習慣，也知道大家在哪裡最沒有戒心。

第二，把二維碼納入釣魚培訓範圍

過去很多安全培訓重點仍停留在「不要亂點連結」，但現在攻擊者已經大量利用二維碼把惡意跳轉從螢幕轉移到手機，藉此避開部分安全檢測與員工警覺。

因此，企業必須明確教育員工：文件內要求掃碼登入、驗證、更新帳戶資訊的操作，原則上都應先被視為高風險。

第三，升級 MFA，而不是只滿足於「有 MFA」

如果企業仍主要依賴 SMS 驗證碼，應盡快評估更高強度的認證方式，例如 FIDO2 安全金鑰，或具備上下文綁定能力的認證 App。原因很簡單：當攻擊者已經能做即時釣魚時，弱 MFA 的防護效果其實非常有限。

企業今天需要追求的，不是「形式上有第二道驗證」，而是「第二道驗證是否真的難以被中途攔截與濫用」。

第四，財務流程一定要有離線覆核

所有涉及銀行帳戶變更、付款路徑調整、收款資訊更新的要求，都不應只靠郵件確認。最穩妥的做法，是要求財務或業務人員透過已知電話、既有聯絡方式，或其他離線渠道進行二次核實。

坦白說，這類制度有時會被嫌麻煩，但和一次錯誤匯款造成的直接損失相比，這點麻煩其實非常值得。很多 BEC 事件最後能否被攔下，靠的不是高級技術，而是是否有人願意多打一通電話。

結語：今天真正危險的，不是新工具，而是舊信任

從這些事件中，筆者最深的感受是：黑客並不是單純在「找漏洞」，而是在重新設計一條符合企業日常流程的欺詐路徑。他們知道員工相信甚麼、依賴甚麼、忽略甚麼，然後就從那些地方切入。

所以，企業今天最需要更新的，不只是防毒、過濾器或認證機制，更是對「信任」這件事的管理方式。電郵、Teams、文件連結、二維碼、內部對話，這些都不應再被默認為安全。只要能影響付款、登入或敏感資料流轉的環節，都應被納入同一套風險視角去看待。

警覺性仍然是防禦的第一道防線，但在今天，這種警覺性不能只是口號，而必須變成員工真正理解、能夠落地執行的判斷能力。

撰文：周全（Sangfor IR Team 專家）