钓尔轻心|警伙企业举办钓鱼讯息演习 近九成机构有员工堕陷阱 经理级中招比率高
发布时间:00:01 2026-04-13 HKT
去年警方录得1093宗钓鱼骗案,虽有所下跌,但损失金额上升超过一倍。警方表示,钓鱼攻击渐趋个人化及规模化,目标亦从以往常见的信用卡资料,演变成诱导受害人提供网上银行、通讯软件等个人帐户资料,其中一宗骗案损失高达1900万元,骗徒透过钓鱼短讯取得受害人社交帐户对话内容,再冒充其合作伙伴成功诈财。为提高企业人员的警觉性,警方早前进行「钓尔轻心」社交工程演习,有近九成参与机构有员工误堕钓鱼陷阱,当中经理级人员的点击钓鱼短讯的比率较一般员工更高。
2025年针对香港的网络威胁情报录得超过150万宗,当中钓鱼攻击占约27%,钓鱼短讯成主流手法,占超过9成;钓鱼电邮虽只占2.6%,但涉及金额往往较大;其余6.5%则涉及WhatsApp等即时通讯软件传送。另外,去年警方录得1093宗钓鱼骗案,接年下跌6成,惟涉及金额上升超过一倍,达1.1亿元。
网络安全及科技罪案调查科署理高级警司许绮惠表示,钓鱼攻击已全面进化,骗徒轻易取得用作钓鱼攻击的工具,无需任何技术知识即可生成可疑短讯或电邮,令犯罪门槛降低,攻击更具规模化,又会利用社交媒体上的公开资料,以掌握受害人个人背景,从而制作高度个人化的钓鱼讯息,加上深伪技术和人工智能的运用,令其可信程度大大提高。
许绮惠剖释常见的网络钓鱼手法,指骗徒通常会假扮政府部门、银行、机构或快递公司的短讯或电邮,向数以万计的市民「撒网」,并透过内附的钓鱼连结引导受害人点击登入高仿真度假网站,再诱使提供个人或帐户资料,最终骗徒会利用资料盗取钱财,甚至进行「二次钓鱼」,欺骗受害人的身边人。
她强调,近年骗徒目标已不再局限于盗取信用卡资料,而是转向诱导受害人交出个人帐户资料,以追求更大利润,例如早前有会计职员收到假冒WhatsApp管理员的系统更新通知后提供了验证码,导致帐户内的对话内容被完全掌握,骗徒及后以新手机号码冒充其公司长期合作伙伴,讹称汇款帐户已变更,受害人不疑有诈,将近1900万元转帐予对方,成为去年金额最高的钓鱼骗案,「点击一条可疑连结,便可能输掉身家。」
为提升企业人员的警觉性,警方联同香港互联网注册管理有限公司及数字政策办公室,于去年10月至今年1月举办「钓尔轻心」社交工程演习,合共有301间机构逾5.3万名员工参与。参加者于演习会收到「IT部门礼品赠送」、「网盘文件下载通知」、「人事部门问卷调查」和「系统安全警示通知」4个钓鱼电邮,结果有268间机构有最少一名员工点击钓鱼连结。
香港互联网注册管理有限公司行政总裁黄家伟工程师指出,结果显示有7121人最少点击了一条钓鱼连结,更有3415人进一步上载资料或下载档案,其中「IT部门礼品赠送」电邮最令人放下戒心,被点击超过3500次,其次是「网盘文件下载通知」;另外,经理级或以上员工的点击率达15.5%,高于一般员工的13%。
他分析,员工对来自机构内部的讯息普遍抱有较高信任度,从而降低警觉性,经理级或以上员工日常要处理大量电邮,更容易一时疏忽,故此提醒企业不仅要依靠系统防护,更需加强培训员工的防范意识,也可以在电邮系统中明确显示讯息来源,以提高员工警觉,「只要有一个人点击可疑连结,已可能导致公司资料被盗,或下载了恶意软体而被入侵。」
是次演习亦首次加入钓鱼短讯,一共有30家机构、3620人参与,最终21间机构有最少一名员工点击钓鱼连结,合共214人。3条短讯分别为「系统维护更新」、「员工资料验证」、「新春礼券赠送」,点击率分别是3.2%、2.7%及0.4%。
网络安全及科技罪案调查科总督察梁以德提醒,市民应保持高度警觉,切勿随意向任何突如其来的电邮或短讯提供资料,亦要留意网址真伪,不要草率点击连结或下载附件,同时应透过官方渠道核实对方身份。
记者 麦键泷
