最近收到一封信,寄件者寫著「財政部賦稅署入口網」,說我的雲端發票中獎了。乍看之下還真有點心動,但點進去看了兩眼,愈看愈不對勁。研究到最後才發現,這封信在技術上「真的」是從財政部的伺服器寄出來的,不是那種一看就假的仿冒信。詐團到底怎麼辦到的?這篇就帶你把整件事拆給你看。

為什麼我會懷疑這封中獎的信?
最近我收到一封看起來像是財政部寄來的電子郵件,寄件者顯示為「財政部賦稅署入口網」,信箱則是「[email protected]」。
一開始看到「雲端發票中獎」幾個字,第一反應確實會想點進去看一下。但再看標題就覺得怪怪的,因為它寫的是「您的好友 115 年 5 月-6 月期別上傳的雲端發票有 1 筆中獎……轉寄了財政部賦稅署的消息給您」。
第一個疑點是:我的好友中獎,關我什麼事?
第二個疑點是:115 年 5-6 月期統一發票,照正常節奏應該是 7/25 才開獎吧?


到這裡大概就能判斷:這封信很可能是詐騙。
但真正讓我意外的是寄件網域,因為它不是那種故意拼很像的仿冒網址,而是確確實實的財政部信箱。一開始我還猜,會不會是詐團去申請了一個長得很像政府的網址(像那種把 o 換成 0 的招數)?但看了看,網域跟財政部一模一樣,不是「很像」而已。這就奇怪了,於是我決定深入研究一下。

為什麼看到 .gov.tw 通常不用擔心
有些人可能不太清楚寄件網域代表什麼,這裡簡單解釋。
我們平常收到詐騙信,絕大多數的寄件地址其實一看就有問題:可能是免費信箱、可能是一串亂碼、可能是把 gov.tw 改成 g0v-tw.xyz 之類的仿冒網址。這類信通常會被信箱的垃圾信過濾器擋下來,因為系統會去驗證「這封信真的是從它宣稱的網域寄出來的嗎?」,一對不上就丟進垃圾桶。
而 .gov.tw 是政府機關專用的網域,一般人、一般公司根本申請不到,詐團也仿冒不來。所以當一封信的寄件網域真的是 mof.gov.tw(財政部),對信箱系統來說,它就是「通過驗證、可信任、直接送進收件匣」的信。
詐騙集團為什麼可以拿 gov 信箱來用?
要用到 .gov.tw 寄信,實際上有幾種可能:
申請一個很像的網域?
前面看過了,寄件網域是真的財政部,不是仿冒,這條排除。
駭進財政部的信箱主機?
這等級的入侵不太可能為了寄幾封發票詐騙信而動用,成本效益完全不合,而且信件的其他技術跡證也不像是主機被攻陷,排除。
偷到某個公務員的帳號密碼寄信?
有可能,但如果是這樣,信件內容通常會比較「像人寫的」,而不是這種前後兜不起來、話術硬接的怪句子。
排完之後,還有一種可能:
這個信根本不是詐團自己寄的,是詐團「叫財政部的網站幫他寄的」。
政府網站的「轉寄好友/分享」功能就是用來寄信的
很多政府與企業網站,為了方便民眾把資訊分享出去,都會做一個「轉寄好友」或「分享給朋友」的功能:你填上自己的名字、朋友的 email,按送出,網站的伺服器就會用它自己的信箱,幫你把這則消息寄給你朋友。
看到這裡你應該懂了,這個「幫你寄信」的動作,就是用官方信箱寄出的。於是我實際去財政部的網站找到了這個轉寄功能,親自測了一次。
填上寄件者名稱、把收件者填成我自己的另一個信箱,送出。結果,我真的收到了一封由財政部信箱寄出的信,主旨是「您的好友(我填的名字)轉寄了財政部賦稅署的消息給您」。

把這封「我自己測出來的信」跟「詐團那封信」擺在一起比對,兩封的開頭都是「您的好友」、結尾都是「轉寄了財政部賦稅署的消息給您」,等於是同一個模板、同一台伺服器寄的。到這裡,來源已經很清楚了,詐團就是拿這個轉寄功能,讓財政部的伺服器幫他們寄詐騙信。
那話術和釣魚連結是怎麼塞進去的?看那句怪怪的主旨就知道:「您的好友」和「轉寄了財政部賦稅署的消息給您」中間,本來是要放你填的名字。詐團沒有乖乖填名字,而是把整段話術(「上傳的雲端發票有 1 筆中獎,請校驗載具信息后自助」)塞進了姓名欄,模板一套上去,就變成你看到的那串前後接不起來的怪主旨。
實測時發現信件內容欄位是「鎖死」的
不過當我在測那個轉寄功能時,注意到信件的「內容」欄位是鎖住的、不能改。 頁面上那格內容被固定成官方的施政計畫連結,使用者只能填名字和收件者,正文動不了。

那問題就來了。既然內容鎖死,詐團怎麼有辦法把正文換成他的釣魚連結?照理說大家收到的內容都應該是那條官方連結才對啊。
但「內容鎖住」並非真的改不了
你要先理解一件事:那個「鎖」是發生在你自己的瀏覽器裡的。
網頁上看到的表單、那個唯讀鎖死的內容欄,全都是網站傳到「你的裝置上」執行的東西。對一個正常使用者來說,它確實鎖住了;但對一個刻意要動手腳的人來說,跑在自己電腦上的東西,本來就是他能控制的。
換個生活化的比喻:
這就像一張「僅供內部使用」的申請單,櫃檯小姐先幫你把某幾格填好、用立可白蓋住不讓你改。你乖乖交上去沒問題;但如果有人根本不從櫃檯走,而是自己在家印一張一模一樣的空白單、每一格想填什麼填什麼,再從後門直接塞進收件匣,後台如果沒有再檢查一次,就會照單全收。
▼ 模擬詐團繞過畫面鎖定功能置換內容

詐團做的就是這件事。不透過那個「鎖住」的網頁,而是直接把一份「內容換成釣魚連結」的請求,送給財政部的伺服器。而伺服器這一端顯然沒有再驗證一次,前端送什麼它就寄什麼,於是正文就被換掉了。
至於實際上是用什麼工具、送什麼請求,這篇就不細講了,因為重點不在「怎麼做壞事」,而在讓你知道為什麼一封信可以掛著政府的名義出現在你信箱裡。要修其實也不難,就是把內容改成後端白名單、把信件的組成改在後端完成、加上許多過濾條件、姓名欄過濾避免污染主旨,再加上寄送限制。
總結:gov.tw 也可能有詐,所以更該學如何自保
就算寄件網域是真的政府信箱,這種信還是有跡可循,記住幾個重點就能自保:
先讀懂主旨在講什麼。
像「您的好友中獎」這種,中獎的是好友,卻要你去校驗,邏輯就不通。話術太長、前後兜不起來的主旨,本身就是警訊。
連結別急著點,先用滑鼠移上去看。
在電腦上,把游標移到連結上(先不要點),瀏覽器左下角會顯示真正的目的地網址。只要跟 mof.gov.tw、gov.tw 對不起來,尤其是那種 .online、.xyz 的亂碼網域,就別點。
用詞習慣也會露餡。
這封信用的是「信息」而不是台灣慣用的「資訊」,這種對岸用語常常是詐騙話術的破綻之一,而且是最好破解的地方。
對關鍵時間點。
發票開獎、報稅、退稅都有固定時程(例如 5–6 月期別要 7 月 25 日才開獎),時間對不上就要提高警覺。
有疑慮就走官方管道。
不要點信裡的連結,直接自己打開財政部或雲端發票的官方 App/網站查,或撥打 165 反詐騙專線確認。
最後提醒一句,這次的重點是「寄件網域是真的政府信箱」已經不再等於「這封信可以信」。詐騙的手法一直在進化,多一秒鐘的懷疑,往往就能少一次損失。收到可疑訊息,記得可以撥打 165 或到反詐騙管道通報,也讓更多人知道有這種招數。
延伸閱讀》
台灣 Pay 新型詐騙要注意!付款碼傳出去,3 分鐘就可能被刷走 60 萬
Telegram 好用但還是要注重隱私!8 招設定教你保護個資安全、防範詐騙
收到「雲端發票中獎通知」可能是詐騙!教你 4 大判斷方式一眼識破
收到 LINE 要求「請儘速完成 Apple 或 Google 帳號設定」是詐騙嗎?教你如何辨識與正確設定
如果想知道更多關於 Apple 的消息、教學、小技巧或是科技新知,一定要點擊以下任一 LOGO,追蹤我們的 Facebook 粉絲團、訂閱 IG、YouTube 以及 Telegram。








