垃圾邮件中，一般病毒的占比大约在0.1~0.2% 之间。2018 年在第四季度的波动幅度较大，2019 年则平均占比都维持在0.15%之上。

2. SMTP DoS攻击

同一个 IP 集中发送大量邮件，并可能造成SMTP服务阻塞或中断的攻击，多半发生在第四季度，可能因为第四季度为消费旺季，双十一、双十二、圣诞节与跨年接踵而来，搭配 EDM 与 Phishing 一起出现。但是 2019除了第四季度外，在四月及六月类型的攻击也都有明显上升的迹象。

3. 邮件附件类型

2. 钓鱼邮件与诈骗邮件泛滥

2019 年电子邮件中，带有恶意链接的数量，大约是 2018 年的 2.8 倍。钓鱼邮件为了取信收件人点击，多半会使用一些当地化用语及社交工程的手法。由于钓鱼邮件主要目的是骗取网络服务的账号密码或其他机密数据，因此多半在点击之后，会通过浏览器连往一个收集这些机密资料的钓鱼网站或钓鱼窗体，再诱骗受害者输入其机密数据。

浏览器的开发商也注意到类似的问题，于是纷纷在网址列加入了检查与提醒的功能，希望能藉此保护使用者。然而攻击者也开始改变做法，在电子邮件中直接夹入一个恶意的静态 HTML 页面，诱骗收件人填入机密数据，但是这个页面通过浏览器打开时，网址列显示的是本地端的储存地址而非远程的钓鱼网站。当收件人填完数据按下发送后，浏览器即以 POST 搭配加密联机的方式，将机密数据送往钓鱼网站，这样的钓鱼手段能略过多数的浏览器保护措施。这类型的攻击邮件，在 2019 年第四季度大量出现。

3. Office 文件漏洞充满威胁

屡试不爽的Office 文件漏洞，一直是攻击者爱用的武器之一。除了作业人员、防病毒软件对文档的警觉性较低外，许多人所使用的Office 不会经常性更新。除了公司预算的问题外，原本就使用了非正版Windows，或担心兼容性、使用上的适应性，以及缺乏漏洞修补的概念，都是使用者不愿更新的原因。

根据 ASRC 的统计，2018 年最常见的邮件漏洞利用攻击为 OLE 漏洞 (CVE-2014-4114) 与方程式漏洞(CVE-2017-11882)。2019 年，CVE-2014-4114 仍持续被利用，且在第三季度爆发大量的攻击样本，主要目标产业为电子、食品、医疗相关产业;CVE-2018-0802 则做为 CVE-2017-11882 其后续的衍生变形攻击持续存在。2020 年初刚刚被披露的 CVE-2020-0674 及其后续影响力，我们也将持续关注。

结论

2020年是5G基础建设部署、成熟加速的一年，随着整体网速的加快，移动应用服务将更趋复杂化，因此，个人信息遭到刺探、外泄的速度与规模、攻击的速度及频率，都会跟着大幅提高;而恶意软件也可以不必再拘泥文件大小的限制，更可朝功能完备的方向发展;加上量子计算机、云计算的推波助澜，信息安全事故的发生与危害程度可能是过去难以想象的。电子邮件仍会是网络攻击重要的入侵渠道，单纯的账号密码防护力渐趋薄弱，多因素验证已是势在必行。