WhiteMail
返回部落格
·WhiteMail 團隊#BEC#agentic-ai#email-security

最危險的電子郵件攻擊,一開始看起來並不像惡意郵件

最難偵測的電子郵件威脅,乍看之下並不像是惡意郵件。

這些郵件來自值得信賴的發件人,存在於真實的業務對話之中,請求內容看起來也十分正當。完全沒有任何立即發出警訊的要素——而這正是攻擊得以成功的原因。

但只要仔細調查這類郵件,答案大多就在其中。我們可以揭露攻擊者的意圖,也能理解攻擊的本質。問題在於,要確實做到這一點,需要時間、經驗,以及取得各種脈絡(Context)的權限。並非每個資安團隊都具備這樣充分的能力。

資安團隊多年來不斷在電子郵件安全堆疊中疊加各種工具,但最致命的攻擊仍然能夠抵達使用者的收件匣。

原因在於既有系統的設計方式。

傳統資安工具的設計目標,是偵測已知指標(Indicators)、異常徵兆(Anomalies),以及能夠大規模比對的訊號(Signals)。然而,現代攻擊並非以模式,而是以**脈絡(Context)**為基礎打造。

這個差異造成了至今仍被攻擊者利用的資安缺口(Gap),在以下攻擊類型中尤其明顯。

  • 供應商 / 帳號盜用(Vendor Compromise)
  • 標靶式釣魚(Targeted Phishing)
  • AI 驅動的社交工程攻擊(AI-generated Social Engineering)

AI 讓這類攻擊變得更容易產出、更個人化、也更能大規模擴散。結果就是,既有偵測系統所仰賴的訊號正在日益稀薄。

為了填補這個缺口,我們打造了 WhiteHat——WhiteMail 內部的中央自主智慧引擎(Central Autonomous Intelligence Engine),專為在脈絡之中調查與理解電子郵件威脅而設計。

現今的郵件調查實際上如何進行

當一封可疑郵件送達 SOC 分析師手中,調查流程大致上到處都相似。

首先,分析師會分析郵件本身:

  • 郵件標頭
  • 內文內容
  • 附件
  • 內含連結

接著進入脈絡分析階段:

  • 與發件人過往的往來紀錄
  • 發件人的一貫行為模式
  • 意圖上的細微變化

最後,分析師會調閱基礎設施與威脅情資(Threat Intelligence),確認郵件背後的系統是否遭到入侵或濫用。

經過這一切之後,分析師才會做出判斷、採取行動並記錄案例。

這套方法有效,但仰賴人工、耗時,且難以在大量郵件中一致地套用。結果是,大多數郵件從未獲得這種程度的深入審查。

WhiteHat 如何即時理解一場攻擊

WhiteHat 對每一封郵件持續執行這種程度的調查。

以供應商帳號盜用攻擊為例。一個受信任的供應商發出看似正常的請求,但脈絡中有些東西已經改變。傳統做法需要分析師通讀整個對話串,才能判斷這項請求是否符合雙方的關係。

在 WhiteMail 中,四個專責代理人會自動完成這項工作:

  • SA-01 · 身分(Identity) — 學習某個網域平常的發件對象,並偵測顯示名稱、Reply-To、Return-Path 之間的不一致。
  • SA-02 · 基礎設施(Infrastructure) — 檢查 SPF / DKIM / DMARC、新註冊網域、相似網域,以及遭濫用的頂級域名(TLD)。
  • SA-03 · 連結與視覺(Links & Visual) — 抓出顯示網址與實際網址不符、短網址、重新導向、IP 網址,以及 QR code 誘餌。
  • SA-04 · 意圖(Intent) — 解讀郵件是否帶有惡意意圖:緊急匯款、帳戶資訊變更、憑證竊取、施壓手法。

WhiteHat 協調這些代理人,整合它們的判斷結果,產出一個一致的判定(允許、標記或封鎖),並附上風險分數與說明理由的雙語敘述。

分流使用者回報的釣魚郵件

企業會訓練使用者回報可疑郵件。副作用是大量湧入的回報,其中大部分並非真正的威脅。

WhiteHat 會在脈絡中分析每一封被回報的郵件,判斷它究竟是真實威脅還是正常業務郵件,並給予回報者量身訂做的回饋,將每一次回報都轉化為一次資安教育的機會。SOC 的負擔並未增加,使用者的判斷力卻提升了。

前所未見的全新攻擊

不符合既有規則的攻擊,通常要等到有人調查並寫出新規則後才會被發現。

由於 WhiteHat 即時針對行為與脈絡進行推理,即便沒有先例,也能標記出攻擊——降低了事後才制定規則的依賴。

AI 原生的代理式方法

WhiteMail 被設計為一套**AI 原生、代理式(Agentic)**的系統。多個專責代理人協同進行內容分析、通訊分析、基礎設施驗證與意圖分類。WhiteHat 是協調這一切的中央智慧層。

WhiteHat 不會試圖自己完成所有事。它協調各個專家、整合他們的發現,並對郵件做出一致的判斷。

對資安團隊而言,什麼會改變

  • 更主動地阻止更多攻擊 — 在甚至不需要人工調查之前就先發現它們。
  • 依據完整脈絡做出判斷 — 評估整體情境,而非片面訊號。
  • 抓住未知攻擊 — 不必等待有人寫出規則。
  • 提升分析師的效率 — 減少驗證雜訊的時間,把更多心力放在真正的威脅上。

解決黑盒子問題

傳統資安產品的一大問題是黑盒子(Black Box)。許多產品只會告訴你*「這是惡意的」,卻不說明原因*。分析師接著必須重新調查,才能驗證這個結果。

業界曾嘗試以可解釋 AI(xAI)來改善這一點:呈現評分依據、關鍵特徵。但那仍然無法呈現完整的調查過程

WhiteMail 採取更完整的做法。對於每一個判定,你都能看到:

  • 郵件是如何被分析的(每個代理人的分數與它所發現的訊號)
  • 考量了哪些脈絡
  • 得出結論所經歷的路徑(雙語敘述)

這不是*「相信這套系統」,而是「親眼看見系統如何做出判斷」*。結果是:更高的信任度、更少的誤判、更快的調查速度,以及更一致的應對方式。

當每一封郵件都被調查時

偵測郵件攻擊的能力其實一直都存在。只要有足夠的時間與脈絡,資安專家幾乎能找出大部分的攻擊。真正的限制在於,這種深度的調查從來無法套用到每一封郵件上。

WhiteMail 移除了這個限制。調查的單位不再是部分郵件,而是每一封郵件。電子郵件安全因此變得持續主動

一旦你以這種方式運作過,既有的電子郵件資安工具就會顯得從根本上不完整。


想親眼看看 WhiteHat 如何調查一項威脅?打開分析主控台,貼上一封可疑郵件,或連接你的信箱,在脈絡中掃描你自己的收件匣。