最危險的電子郵件攻擊,一開始看起來並不像惡意郵件
最難偵測的電子郵件威脅,乍看之下並不像是惡意郵件。
這些郵件來自值得信賴的發件人,存在於真實的業務對話之中,請求內容看起來也十分正當。完全沒有任何立即發出警訊的要素——而這正是攻擊得以成功的原因。
但只要仔細調查這類郵件,答案大多就在其中。我們可以揭露攻擊者的意圖,也能理解攻擊的本質。問題在於,要確實做到這一點,需要時間、經驗,以及取得各種脈絡(Context)的權限。並非每個資安團隊都具備這樣充分的能力。
資安團隊多年來不斷在電子郵件安全堆疊中疊加各種工具,但最致命的攻擊仍然能夠抵達使用者的收件匣。
原因在於既有系統的設計方式。
傳統資安工具的設計目標,是偵測已知指標(Indicators)、異常徵兆(Anomalies),以及能夠大規模比對的訊號(Signals)。然而,現代攻擊並非以模式,而是以**脈絡(Context)**為基礎打造。
這個差異造成了至今仍被攻擊者利用的資安缺口(Gap),在以下攻擊類型中尤其明顯。
- 供應商 / 帳號盜用(Vendor Compromise)
- 標靶式釣魚(Targeted Phishing)
- AI 驅動的社交工程攻擊(AI-generated Social Engineering)
AI 讓這類攻擊變得更容易產出、更個人化、也更能大規模擴散。結果就是,既有偵測系統所仰賴的訊號正在日益稀薄。
為了填補這個缺口,我們打造了 WhiteHat——WhiteMail 內部的中央自主智慧引擎(Central Autonomous Intelligence Engine),專為在脈絡之中調查與理解電子郵件威脅而設計。
現今的郵件調查實際上如何進行
當一封可疑郵件送達 SOC 分析師手中,調查流程大致上到處都相似。
首先,分析師會分析郵件本身:
- 郵件標頭
- 內文內容
- 附件
- 內含連結
接著進入脈絡分析階段:
- 與發件人過往的往來紀錄
- 發件人的一貫行為模式
- 意圖上的細微變化
最後,分析師會調閱基礎設施與威脅情資(Threat Intelligence),確認郵件背後的系統是否遭到入侵或濫用。
經過這一切之後,分析師才會做出判斷、採取行動並記錄案例。
這套方法有效,但仰賴人工、耗時,且難以在大量郵件中一致地套用。結果是,大多數郵件從未獲得這種程度的深入審查。
WhiteHat 如何即時理解一場攻擊
WhiteHat 對每一封郵件持續執行這種程度的調查。
以供應商帳號盜用攻擊為例。一個受信任的供應商發出看似正常的請求,但脈絡中有些東西已經改變。傳統做法需要分析師通讀整個對話串,才能判斷這項請求是否符合雙方的關係。
在 WhiteMail 中,四個專責代理人會自動完成這項工作:
- SA-01 · 身分(Identity) — 學習某個網域平常的發件對象,並偵測顯示名稱、Reply-To、Return-Path 之間的不一致。
- SA-02 · 基礎設施(Infrastructure) — 檢查 SPF / DKIM / DMARC、新註冊網域、相似網域,以及遭濫用的頂級域名(TLD)。
- SA-03 · 連結與視覺(Links & Visual) — 抓出顯示網址與實際網址不符、短網址、重新導向、IP 網址,以及 QR code 誘餌。
- SA-04 · 意圖(Intent) — 解讀郵件是否帶有惡意意圖:緊急匯款、帳戶資訊變更、憑證竊取、施壓手法。
WhiteHat 協調這些代理人,整合它們的判斷結果,產出一個一致的判定(允許、標記或封鎖),並附上風險分數與說明理由的雙語敘述。
分流使用者回報的釣魚郵件
企業會訓練使用者回報可疑郵件。副作用是大量湧入的回報,其中大部分並非真正的威脅。
WhiteHat 會在脈絡中分析每一封被回報的郵件,判斷它究竟是真實威脅還是正常業務郵件,並給予回報者量身訂做的回饋,將每一次回報都轉化為一次資安教育的機會。SOC 的負擔並未增加,使用者的判斷力卻提升了。
前所未見的全新攻擊
不符合既有規則的攻擊,通常要等到有人調查並寫出新規則後才會被發現。
由於 WhiteHat 即時針對行為與脈絡進行推理,即便沒有先例,也能標記出攻擊——降低了事後才制定規則的依賴。
AI 原生的代理式方法
WhiteMail 被設計為一套**AI 原生、代理式(Agentic)**的系統。多個專責代理人協同進行內容分析、通訊分析、基礎設施驗證與意圖分類。WhiteHat 是協調這一切的中央智慧層。
WhiteHat 不會試圖自己完成所有事。它協調各個專家、整合他們的發現,並對郵件做出一致的判斷。
對資安團隊而言,什麼會改變
- 更主動地阻止更多攻擊 — 在甚至不需要人工調查之前就先發現它們。
- 依據完整脈絡做出判斷 — 評估整體情境,而非片面訊號。
- 抓住未知攻擊 — 不必等待有人寫出規則。
- 提升分析師的效率 — 減少驗證雜訊的時間,把更多心力放在真正的威脅上。
解決黑盒子問題
傳統資安產品的一大問題是黑盒子(Black Box)。許多產品只會告訴你*「這是惡意的」,卻不說明原因*。分析師接著必須重新調查,才能驗證這個結果。
業界曾嘗試以可解釋 AI(xAI)來改善這一點:呈現評分依據、關鍵特徵。但那仍然無法呈現完整的調查過程。
WhiteMail 採取更完整的做法。對於每一個判定,你都能看到:
- 郵件是如何被分析的(每個代理人的分數與它所發現的訊號)
- 考量了哪些脈絡
- 得出結論所經歷的路徑(雙語敘述)
這不是*「相信這套系統」,而是「親眼看見系統如何做出判斷」*。結果是:更高的信任度、更少的誤判、更快的調查速度,以及更一致的應對方式。
當每一封郵件都被調查時
偵測郵件攻擊的能力其實一直都存在。只要有足夠的時間與脈絡,資安專家幾乎能找出大部分的攻擊。真正的限制在於,這種深度的調查從來無法套用到每一封郵件上。
WhiteMail 移除了這個限制。調查的單位不再是部分郵件,而是每一封郵件。電子郵件安全因此變得持續且主動。
一旦你以這種方式運作過,既有的電子郵件資安工具就會顯得從根本上不完整。
想親眼看看 WhiteHat 如何調查一項威脅?打開分析主控台,貼上一封可疑郵件,或連接你的信箱,在脈絡中掃描你自己的收件匣。