隨著企業長期將資安防護重心放在電子郵件與端點防護上,惡意軟體的傳播路徑卻正在悄然轉移。過去二十多年來,網路釣魚郵件與惡意附件一直是主要攻擊載體,但最新研究顯示,支撐開放網路運作的數位廣告基礎設施,正逐漸成為新的入侵入口。
進一步的數據也指出,惡意廣告在整體惡意軟體與網路釣魚活動中的占比已超過 60%,且透過程式化管道散布的惡意程式數量年增達 45%,顯示廣告生態系正快速成為攻擊者優先滲透的目標。
惡意軟體傳播管道正在改變
長期以來,電子郵件一直是網路犯罪分子散布惡意軟體的主要方式。透過釣魚郵件、惡意附件與欺騙性連結,企業與個人每年因此承受數十億美元的損失。
資安公司 The Media Trust 預測,到 2026 年,程式化廣告將超越電子郵件,成為惡意軟體的主要傳播途徑。另有研究甚至將時間點提前至 2025 年,顯示不同觀測模型雖在時間預測上略有差異,但皆指向同一趨勢:惡意廣告正快速逼近甚至取代電子郵件攻擊的主導地位。
惡意廣告如何利用數位廣告系統
程式化廣告的核心,是透過自動化系統即時競價買賣廣告版位。當使用者開啟網頁時,多個廣告商會在毫秒內完成競價,並立即投放廣告內容。這種高度自動化的機制,雖然提升了行銷效率,卻也為攻擊者提供了新的滲透管道。
攻擊者可以將惡意程式碼植入廣告素材,或利用廣告供應鏈中的漏洞進行攻擊。與電子郵件不同,惡意廣告不需要使用者點擊或下載,只要廣告顯示於瀏覽器中,就可能觸發「驅動下載」(drive-by download),直接在裝置上執行惡意程式。
在更進階的攻擊中,惡意廣告會透過多層重新導向,將使用者引導至釣魚網站或漏洞利用工具,進一步探測裝置弱點。由於這些廣告往往出現在可信任網站上,整個攻擊過程對使用者而言幾乎不可見,增加了偵測與防禦的難度。
為何攻擊者開始轉向廣告管道
攻擊模式的轉變,與電子郵件安全機制的成熟密切相關。企業級郵件系統已整合機器學習、沙盒與連結重寫等技術,使多數威脅在進入收件匣前即被攔截。Google 與 Microsoft 等服務供應商也持續強化防護,使電子郵件攻擊的成功率逐步下降。
相較之下,程式化廣告提供了更具規模與效率的攻擊環境。根據產業估計,2023 年全球程式化廣告市場規模已超過 5,500 億美元,並延伸至整體數位廣告市場約 7,910 億美元的規模。每一次廣告展示都可能成為攻擊入口,一個惡意廣告素材在被移除前,可能已在數千個網站曝光數百萬次。
此外,人工智慧的應用也進一步降低了攻擊門檻。攻擊者可以快速生成具有高度擬真性的廣告內容,例如名人深偽廣告,並精準鎖定更容易受騙的受眾群體,使攻擊更具針對性與效率。
更關鍵的是廣告供應鏈本身的結構問題。在廣告主與最終使用者之間,廣告需經過需求方平台、供應方平台與多個中介機構。這種高度碎片化且不透明的架構,使攻擊者得以透過偽造帳戶、空殼公司或盜用合法資源滲透其中。The Media Trust 指出,多數網站與應用程式中約有 80% 的程式碼與資料追蹤相關,這些複雜結構本身也成為攻擊可利用的基礎。
對企業與產業的安全啟示
惡意廣告的影響範圍,正從傳統網頁擴展至行動應用與連網電視(CTV)等新場域。部分 CTV 裝置缺乏完整終端防護,使其成為潛在攻擊目標;行動應用內的廣告則可能透過 WebView 執行惡意程式碼或導向惡意下載頁面,進一步擴大風險。
對出版商而言,惡意廣告更構成直接的信任危機。使用者若在網站上遭遇惡意內容,往往將責任歸咎於平台本身,而非背後的廣告供應鏈。這種信任流失已促使約 30% 的全球網路使用者採用廣告攔截工具,對內容產業造成實質衝擊。
主要平台雖已採取行動。Google 在《2023 年廣告安全報告》中指出,已攔截或移除超過 55 億則違規廣告,但這一數字同時也反映問題的規模與複雜性。The Media Trust 執行長 Chris Olson 指出,品牌長期投入大量資源確保廣告投放環境安全,但這些努力並未等比例轉化為消費者的實際安全保障。
在這樣的情況下,企業安全團隊需重新調整防禦策略。過去以電子郵件為核心的資安投資,已難以涵蓋新型威脅。
防禦機制應延伸至瀏覽器層,包括導入瀏覽器隔離技術、DNS 過濾與端點偵測與回應(EDR)等工具。同時,員工教育也需涵蓋惡意廣告風險,並強化對可疑廣告與網站的基本驗證與通報機制。
惡意軟體傳播從電子郵件轉向程式化廣告,顯示攻擊者正持續尋找更高效率且防禦較弱的入口。這一轉變意味著,傳統以電子郵件為核心的資安防護策略,已不足以應對當前威脅環境。
未來的資安防護需同時涵蓋瀏覽器、廣告供應鏈與平台治理等多個層面,並結合技術防禦與產業協作機制。
本圖/文由「Techorange科技報橘」授權刊登,非經同意不得任意轉載。
原文出處:【超越釣魚信成最大破口】數位廣告將取代 Email 成為最大攻擊來源,企業該怎麼防禦?
