供應商評估郵件詐騙

任何營造緊迫感的意外郵件都應謹慎對待，尤其是在郵件要求提供敏感資訊或誘導用戶點擊連結時。網路犯罪分子經常將釣魚郵件偽裝成合法的商業通信，企圖誘騙收件人洩露機密資料。本文討論的所謂「供應商評估」郵件與任何真實的公司、組織、承包商或採購實體均無關聯。相反，它們是旨在竊取憑證的釣魚攻擊的一部分，其目的是入侵電子郵件帳戶並實施進一步的詐欺行為。

「供應商評估」騙局詳解

這些詐騙郵件的主題通常是“文件已準備好供審核”，並偽裝成與一項據稱計劃於 2026 年第二季度初啟動的基礎設施項目相關的專業投標邀請。收件者會被告知，他們已被選中審核一份詢價單 (RFQ) 文件，作為所謂的供應商評估機會的一部分。

為了讓郵件看起來更具說服力，郵件中包含一個名為「Bid_Invitation_RFQ_2026_Q2.pdf」的PDF附件，以及一個「安全檢視詢價單」按鈕。然而，這兩個都不是合法的附件，它們只是指向同一個惡意網站的連結。

該郵件還試圖透過提及提交截止日期和顯示「連結將在20天後過期」等通知來迫使收件者盡快採取行動。這些緊迫感策略常用於網路釣魚攻擊，以降低目標使用者在點擊郵件前仔細檢查郵件的可能性。

憑證盜竊的運作原理

一旦收件人點擊虛假附件或「檢視」按鈕，就會被重新導向到一個偽造的登入頁面，該頁面旨在模仿可信任的電子郵件服務提供者。這些釣魚頁面通常非常複雜，可能會自動偵測受害者的電子郵件域名，並顯示一個看起來很熟悉的登入入口網站。

例如，Gmail 使用者可能會看到 Google 風格的登入介面，而 Outlook 使用者則可能會看到 Microsoft 風格的介面。這種個人化設計增加了受害者相信頁面真實性的可能性。

在詐騙表單中輸入的任何憑證都會直接傳送給攻擊者。由於電子郵件帳戶通常用作其他線上服務的恢復點，因此被盜的登入資訊可能導致大範圍的帳戶被盜用。

為什麼被偷的電子郵件憑證很危險

被盜用的電子郵件帳戶可能使網路犯罪分子能夠廣泛存取受害者的數位生活。一旦攻擊者控制了收件箱，他們可能會：

如果用戶在多個帳戶中重複使用相同密碼，風險會更大。一個被盜的憑證就可能解鎖多個已連接的服務。

郵件涉嫌詐欺的跡象

多項跡象表明，此次網路釣魚活動性質惡劣。所謂的寄件者機構和聯絡方式均為偽造，郵件內容極力營造緊迫感，誘使收件人立即採取行動。此外，偽造的PDF附件實際上只是一個偽裝的超鏈接，而不是真正的PDF文件。

另一個重要的警示信號是要求透過外部頁面登入。合法的採購或供應商評估流程很少會要求收件者透過未經請求的電子郵件中發送的無關第三方連結來驗證其電子郵件憑證。

最重要的是，釣魚頁面試圖模仿的任何電子郵件提供者都與詐騙本身沒有任何關聯。

潛在惡意軟體風險

雖然這次攻擊活動主要針對憑證竊取，但類似的釣魚模板也常被用來傳播惡意軟體。網路犯罪分子通常使用電子郵件作為惡意軟體的傳播媒介，將有害內容嵌入附件或連結中。

攻擊者可能會散佈受感染的 Microsoft Office 文件、PDF 檔案、ZIP 或 RAR 壓縮檔案、JavaScript 檔案或執行程式。在許多情況下，感染過程僅在受害者開啟檔案、啟用巨集或手動執行下載的軟體後才會開始。

有些網路釣魚活動完全避免使用附件，而是將受害者引導至惡意網站，這些網站能夠自動啟動惡意軟體下載，或誘騙用戶安裝虛假的軟體更新和安裝程式。

最後想說的話

名為「供應商評估」的電子郵件活動是一種網路釣魚詐騙，偽裝成合法的商業投標邀請。其主要目的是透過一個看似可信任實則虛假的登入頁面竊取電子郵件帳戶憑證。這些電子郵件與任何真實的組織、供應商管理程序或採購流程均無關聯。

收件人應避免與郵件互動，切勿點擊任何嵌入的連結或按鈕，並立即刪除郵件。對未經請求的商業通訊保持謹慎至關重要，這有助於保護個人資訊、公司帳戶和財務安全免受日益複雜的網路威脅。