钓尔轻心｜警伙企业举办钓鱼讯息演习 近九成机构有员工堕陷阱 经理级中招比率高

去年警方录得1093宗钓鱼骗案，虽有所下跌，但损失金额上升超过一倍。警方表示，钓鱼攻击渐趋个人化及规模化，目标亦从以往常见的信用卡资料，演变成诱导受害人提供网上银行、通讯软件等个人帐户资料，其中一宗骗案损失高达1900万元，骗徒透过钓鱼短信取得受害人社交帐户对话内容，再冒充其合作伙伴成功诈财。为提高企业人员的警觉性，警方早前进行“钓尔轻心”社交工程演习，有近九成参与机构有员工误堕钓鱼陷阱，当中经理级人员的点击钓鱼短信的比率较一般员工更高。

2025年针对香港的网络威胁情报录得超过150万宗，当中钓鱼攻击占约27%，钓鱼短信成主流手法，占超过9成；钓鱼电邮虽只占2.6%，但涉及金额往往较大；其余6.5%则涉及WhatsApp等即时通讯软件传送。另外，去年警方录得1093宗钓鱼骗案，接年下跌6成，惟涉及金额上升超过一倍，达1.1亿元。

梁以德、许绮惠和黄家伟(左至右)讲述钓鱼攻击的最新趋势，以及剖析“钓尔轻心”社交工程演习的结果。

网络安全及科技罪案调查科署理高级警司许绮惠表示，钓鱼攻击已全面进化，骗徒轻易取得用作钓鱼攻击的工具，无需任何技术知识即可生成可疑短信或电邮，令犯罪门槛降低，攻击更具规模化，又会利用社交媒体上的公开资料，以掌握受害人个人背景，从而制作高度个人化的钓鱼讯息，加上深伪技术和人工智能的运用，令其可信程度大大提高。 

许绮惠剖释常见的网络钓鱼手法，指骗徒通常会假扮政府部门、银行、机构或快递公司的短信或电邮，向数以万计的市民“撒网”，并透过内附的钓鱼连结引导受害人点击登入高仿真度假网站，再诱使提供个人或帐户资料，最终骗徒会利用资料盗取钱财，甚至进行“二次钓鱼”，欺骗受害人的身边人。

她强调，近年骗徒目标已不再局限于盗取信用卡资料，而是转向诱导受害人交出个人帐户资料，以追求更大利润，例如早前有会计职员收到假冒WhatsApp管理员的系统更新通知后提供了验证码，导致帐户内的对话内容被完全掌握，骗徒及后以新手机号码冒充其公司长期合作伙伴，讹称汇款帐户已变更，受害人不疑有诈，将近1900万元转帐予对方，成为去年金额最高的钓鱼骗案，“点击一条可疑连结，便可能输掉身家。”

演习期间，“IT部门礼品赠送”电邮最容易令员工放下戒心，被点击超过3500次。

为提升企业人员的警觉性，警方联同香港互联网注册管理有限公司及数字政策办公室，于去年10月至今年1月举办“钓尔轻心”社交工程演习，合共有301间机构逾5.3万名员工参与。参加者于演习会收到“IT部门礼品赠送”、“网盘文件下载通知”、“人事部门问卷调查”和“系统安全警示通知”4个钓鱼电邮，结果有268间机构有最少一名员工点击钓鱼连结。

香港互联网注册管理有限公司行政总裁黄家伟工程师指出，结果显示有7121人最少点击了一条钓鱼连结，更有3415人进一步上载资料或下载档案，其中“IT部门礼品赠送”电邮最令人放下戒心，被点击超过3500次，其次是“网盘文件下载通知”；另外，经理级或以上员工的点击率达15.5%，高于一般员工的13%。

演习首次加入钓鱼短信，3条短信分别为“系统维护更新”、“员工资料验证”和“新春礼券赠送”，最终21间机构有最少一名员工点击钓鱼连结。

他分析，员工对来自机构内部的讯息普遍抱有较高信任度，从而降低警觉性，经理级或以上员工日常要处理大量电邮，更容易一时疏忽，故此提醒企业不仅要依靠系统防护，更需加强培训员工的防范意识，也可以在电邮系统中明确显示讯息来源，以提高员工警觉，“只要有一个人点击可疑连结，已可能导致公司资料被盗，或下载了恶意软件而被入侵。”

是次演习亦首次加入钓鱼短信，一共有30家机构、3620人参与，最终21间机构有最少一名员工点击钓鱼连结，合共214人。3条短信分别为“系统维护更新”、“员工资料验证”、“新春礼券赠送”，点击率分别是3.2%、2.7%及0.4%。

网络安全及科技罪案调查科总督察梁以德提醒，市民应保持高度警觉，切勿随意向任何突如其来的电邮或短信提供资料，亦要留意网址真伪，不要草率点击连结或下载附件，同时应透过官方渠道核实对方身份。

记者 麦键泷