電子郵件的威脅已經存在多年，儘管各式的資安設備防護功能與人們的資安意識也在不斷演進，但釣魚郵件攻擊手法也在進化，而現在愈來愈多網路攻擊(最近熱門的APT攻擊、勒索病毒攻擊….等等)都是以此作為開端，令人防不勝防。尤其是對於企業而言，透過電子郵件發動攻擊的資安威脅最顯著。

現在企業及資安廠商都會定期作社交演練的宣導，使用者已知道要留心陌生電子郵件信箱寄來的郵件，但是對於利用回信來發送信件的新式釣魚手法卻無法適用，因為這些釣魚郵件都非來自陌生帳號，而是針對真實信件的回覆，駭客在回覆信件中加入釣魚連結，而使用者看到熟人回覆信件，通常都會不疑有他而點入連結中招。

這種新式釣魚信件的運作方式是只要有任何一個人郵件帳號被入侵，駭客就可以在遠端伺服器上跑機器人程式來接收其登入帳密，然後登入其帳號，檢視受害者最近幾天內收到的信件。他再針對每組郵件對話串進行回覆（即以Re:開頭為主旨的信件），再加上釣魚網頁的連結，以Reply ALL(回覆所有人)寄給所有人，收到信件的人通常都無法判斷出異狀而點擊連結中招。

這種攻擊手法看起來天衣無縫，無法破解，實際上還是有方法可以預防的，就是在受害者的帳密被竊取之後，別讓駭客能夠進入其信箱，就能避免郵件信箱被利用來發送釣魚郵件。要怎麼作到呢? 答案就是啟用雙因子驗證，這樣一來駭客除非同時也拿到你的TOKEN (或者是手機上的雙因子驗證APP及手機密碼)才能進入信箱進行攻擊。快來啟動雙因子驗證保護你的信箱也保護你週遭的朋友避免受駭吧!

詳文請見ithome 原文新聞稿