釣爾輕心|警夥企業舉辦釣魚訊息演習 近九成機構有員工墮陷阱 經理級中招比率高
發佈時間:00:01 2026-04-13 HKT
去年警方錄得1093宗釣魚騙案,雖有所下跌,但損失金額上升超過一倍。警方表示,釣魚攻擊漸趨個人化及規模化,目標亦從以往常見的信用卡資料,演變成誘導受害人提供網上銀行、通訊軟件等個人帳戶資料,其中一宗騙案損失高達1900萬元,騙徒透過釣魚短訊取得受害人社交帳戶對話內容,再冒充其合作夥伴成功詐財。為提高企業人員的警覺性,警方早前進行「釣爾輕心」社交工程演習,有近九成參與機構有員工誤墮釣魚陷阱,當中經理級人員的點擊釣魚短訊的比率較一般員工更高。
2025年針對香港的網絡威脅情報錄得超過150萬宗,當中釣魚攻擊佔約27%,釣魚短訊成主流手法,佔超過9成;釣魚電郵雖只佔2.6%,但涉及金額往往較大;其餘6.5%則涉及WhatsApp等即時通訊軟件傳送。另外,去年警方錄得1093宗釣魚騙案,接年下跌6成,惟涉及金額上升超過一倍,達1.1億元。
網絡安全及科技罪案調查科署理高級警司許綺惠表示,釣魚攻擊已全面進化,騙徒輕易取得用作釣魚攻擊的工具,無需任何技術知識即可生成可疑短訊或電郵,令犯罪門檻降低,攻擊更具規模化,又會利用社交媒體上的公開資料,以掌握受害人個人背景,從而製作高度個人化的釣魚訊息,加上深偽技術和人工智能的運用,令其可信程度大大提高。
許綺惠剖釋常見的網絡釣魚手法,指騙徒通常會假扮政府部門、銀行、機構或快遞公司的短訊或電郵,向數以萬計的市民「撒網」,並透過內附的釣魚連結引導受害人點擊登入高仿真度假網站,再誘使提供個人或帳戶資料,最終騙徒會利用資料盜取錢財,甚至進行「二次釣魚」,欺騙受害人的身邊人。
她強調,近年騙徒目標已不再局限於盜取信用卡資料,而是轉向誘導受害人交出個人帳戶資料,以追求更大利潤,例如早前有會計職員收到假冒WhatsApp管理員的系統更新通知後提供了驗證碼,導致帳戶內的對話內容被完全掌握,騙徒及後以新手機號碼冒充其公司長期合作夥伴,訛稱匯款帳戶已變更,受害人不疑有詐,將近1900萬元轉帳予對方,成為去年金額最高的釣魚騙案,「點擊一條可疑連結,便可能輸掉身家。」
為提升企業人員的警覺性,警方聯同香港互聯網註冊管理有限公司及數字政策辦公室,於去年10月至今年1月舉辦「釣爾輕心」社交工程演習,合共有301間機構逾5.3萬名員工參與。參加者於演習會收到「IT部門禮品贈送」、「網盤文件下載通知」、「人事部門問卷調查」和「系統安全警示通知」4個釣魚電郵,結果有268間機構有最少一名員工點擊釣魚連結。
香港互聯網註冊管理有限公司行政總裁黃家偉工程師指出,結果顯示有7121人最少點擊了一條釣魚連結,更有3415人進一步上載資料或下載檔案,其中「IT部門禮品贈送」電郵最令人放下戒心,被點擊超過3500次,其次是「網盤文件下載通知」;另外,經理級或以上員工的點擊率達15.5%,高於一般員工的13%。
他分析,員工對來自機構內部的訊息普遍抱有較高信任度,從而降低警覺性,經理級或以上員工日常要處理大量電郵,更容易一時疏忽,故此提醒企業不僅要依靠系統防護,更需加強培訓員工的防範意識,也可以在電郵系統中明確顯示訊息來源,以提高員工警覺,「只要有一個人點擊可疑連結,已可能導致公司資料被盜,或下載了惡意軟體而被入侵。」
是次演習亦首次加入釣魚短訊,一共有30家機構、3620人參與,最終21間機構有最少一名員工點擊釣魚連結,合共214人。3條短訊分別為「系統維護更新」、「員工資料驗證」、「新春禮券贈送」,點擊率分別是3.2%、2.7%及0.4%。
網絡安全及科技罪案調查科總督察梁以德提醒,市民應保持高度警覺,切勿隨意向任何突如其來的電郵或短訊提供資料,亦要留意網址真偽,不要草率點擊連結或下載附件,同時應透過官方渠道核實對方身份。
記者 麥鍵瀧
