「釣魚電郵演習」逾7成企業有員工中招 人事問卷主題最易引人上釣

警方與香港互聯網註冊管理有限公司（HKIRC）去年舉辦「釣魚電郵演習2024」，今公布測試結果，顯示超過七成的參予員工點擊釣魚電郵，其中點擊率最高的主題為「人事部門問卷調查」。

Fortinet香港、澳門及蒙古區總經理馮家健（左）網絡安全及科技罪案調查科網絡安全組警司陳純青（中）及香港互聯網註冊管理有限公司行政總裁黃家偉（右）

逾七成公司有員工點擊過「釣魚電郵」

警務處網罪科聯同香港互聯網註冊管理有限公司（HKIRC）去年8至12月舉辦「釣魚電郵演習2024」，216間企業共37220名員工參與，其中逾七成，即共167間公司、4285名員工點擊過最少一封「釣魚電郵」。

網絡安全及科技罪案調查科網絡安全組警司陳純青介紹，警務處網罪科自2021年開始舉辦「釣魚電郵」演習，今年更添新元素，於其中兩封電郵內的連結加入資料輸入頁面，測試參加者會否在按下連結後再輸入個人資料。

他續指，今年參與人數較去年增加2.6倍。參與演習的員工會先後收到4封不同主題的模擬釣魚電郵，分別關於「人事部門問卷調查」、「銀行賬戶安全警示」、「IT部門系統測試請求」和「視像會議應用更新」。當員工點擊電郵內附連結並進入預設網站，便會被視為「上釣」，即遭受釣魚攻擊。

今年共有216間企業，37220名員工參與，其中有4285人曾點擊過「釣魚電郵」，且167間公司中至少有一名員工曾點擊過該郵件。

演習結果顯示，點擊率最高的主題是「人事部門問卷調查」，占總點擊率的9.5%。其次是「銀行賬戶安全警示」，佔4.2%，以及「IT部門系統測試請求」，佔3.1%。而點擊率最低的主題是「視像會議應用更新」，僅佔3.0%。

330人在釣魚網站提供個人資料

另外，逾7成參與者曾開啟多於一封電郵的連結，而逾一成的參與者更點擊了全部四封釣魚電郵。

值得注意的是，在「人事部門問卷調查」的釣魚電郵中，超過3300名員工點擊了釣魚連結，其中超過330人在釣魚網站上提供了個人資料，結果反映出機構內部員工的安全意識或培訓仍存在不足之處。

點擊率最高的主題是「人事部門問卷調查」，佔總點擊率的9.5%

Fortinet香港、澳門及蒙古區總經理馮家健表示，電郵依然是全球最關鍵威脅媒介，特別是針對金融服務和關鍵基礎設施的攻擊，佔所有攻擊的是70%以上；其次就是垃圾郵件，在所有電子郵件裡，每5封中就有1封垃圾郵件，佔19％；第三外洩攻擊，自2022年以來，社會工程機商業電郵外洩攻擊增加了1700％。

面對網絡釣魚問題，他建議企業需定期進行安全意識培訓；其次，實施多層信任架構，增強系統的安全性；最後進行持續的監控和威脅評估，及時發現並應對潛在風險。

電郵依然是全球最關鍵威脅媒介，其中網絡釣魚仍是全球三大網絡安全的威脅之一。

陳純青表示，香港電郵騙案數字過去5年呈持續下降態勢。從2019年的816宗案件回落至2023年的208宗，損失金額也從2019年的高峰25.3億港元大幅減少九成至2023年的1.6億港元。2024年首11個月，電郵騙案數字繼續輕微下跌，共錄得187宗案件，比2023年同期減少約2宗，損失金額則降至約1.6億港元，比2023年同期減少約35%。絕大部分電郵騙案仍以企業為主要目標。

然而，全球電郵騙案仍十分猖獗，每天約有34億封詐騙釣魚電郵產生，平均每人大約每兩天會收到1封詐騙電郵。

香港電郵騙案數字過去5年呈持續下降態勢

他續指，儘管電郵騙案數字下降，但公眾不能鬆懈對可疑電郵的警惕。以2024年首11個月的187宗電郵騙案為例，平均每宗案件的損失仍高達55萬港元。去年更有一宗電郵騙案涉及高達1634萬元虛擬貨幣。

網罪科一直致力於舉辦各類活動，與業界共同抵禦科技罪案的威脅，2025年首季，網罪科將舉辦名為「守網季」的網絡安全運動，通過線上和線下活動來推廣全民數碼安全和防騙訊息。今年「守網季」主題是「守網聯盟」，希望透過與不同政府部門、公營機構以及私人公司合作，從多個途徑宣揚防騙訊息，並推動一系列措施對抗日新月異的科技罪案。

針對辨別可疑電郵，陳表示只需留意幾個簡單的細節。首先，檢查發件人的電郵地址是否有異常，如將字母「L」寫成「1」，或將「O」寫成「0」。其次，關注電郵內容是否存在文法或拼寫錯誤。

此外，檢查電郵中的商標是否為舊版本，圖像的分辨率是否過低，或圖像比例是否異常。最後，將桌面電腦的滑鼠指針停在電郵地址或連結上，即可顯示完整的地址或連結，幫助判斷其真實性。

針對辨別可疑電郵，只需留意幾個簡單的細節

為協助香港中小企業識別可疑電郵，警方網罪科與香港大學於2023年初推出了「衛郵計劃」（Project e-GUARD），研發可疑電郵偵測軟件V@nguard。能夠自動識別陌生電郵，下載次數已近二萬次，市民可通過警方的「守網者」網站進行下載。

此外，還推出了「防騙視伏器」及其手機版應用程式「防騙視伏App」，通過輸入電郵地址、電話號碼、網址等信息，即時評估詐騙風險。

為了提升全民數碼安全意識，警方於2021年8月推出了「守網者」一站式資訊平台，定期發布最新IT知識和騙案手法。

警方最後提醒市民不要開啟來歷不明的電郵

警方最後提醒市民，不要開啟來歷不明的電郵，此外，如果郵件要求提供個人資料或突然改變匯款要求，千萬不要輕易相信，應通過電郵以外的其他溝通渠道（如電話或當面確認）向寄件者核實， 並使用防騙視伏器或防騙視伏App、或撥打防騙易熱線18222諮詢。若懷疑已經受騙，應立即保存相關電郵和轉款記錄，並儘快報警。

警方搗破一個強積金詐騙及洗黑錢犯罪集團，涉嫌轉移3名受害人的強積金存款合共約180萬元，以及清洗犯罪得益高達7800萬元，以「串謀詐騙」及「洗黑錢」罪拘捕5名男子，包括一名集團主腦。

警方搗破一個強積金詐騙及洗黑錢犯罪集團，人員以「串謀詐騙」及「洗黑錢」罪拘捕5名男子。

警方網絡安全及科技罪案調查科科技罪案組總督察李俊岷表示，在本年10月底，一名市民嘗試透過「積金易」平台開設帳戶時，發現自己的個人身份資料已被他人盜用，並成功以其名義開立帳戶。進一步查詢後，發現約81萬元的強積金存款，已被疑犯以「退休」為由全數提走，款項更轉入一個冒充受害人開立的銀行戶口，該市民於是報案。

警方網絡安全及科技罪案調查科科技罪案組總督察李俊岷

經警方深入調查，發現犯罪集團分工主要分為五個環節，包括：

1. 偽造證件：疑犯透過非法渠道，取得受害人曾遺失或洩露的個人資料後，製作出帶有「傀儡」成員照片的偽造香港身份證。
2. 帳戶開立：「傀儡」成員偽造身份證，冒充受害人身份在「積金易」平台申請開戶，成功通過開戶時的電子客戶身份驗證程序(俗稱eKYC)，成功完成「積金易」帳戶註冊，並且連結受害人的強積金帳戶。
3. 轉出強積金：帳戶成功開立後，疑犯以「退休」或其他理由提交提款申請，將受害人強積金存款轉入由「傀儡」成員冒充受害人開立的銀行戶口。
4. 洗黑錢：疑犯為逃避警方追捕，會將受害人強積金進行多層次、跨行轉賬，企圖將非法資金「洗白」。
5. 提取犯罪收益：經過多重轉賬後，疑犯於分行或提款機提取現金。
 
根據調查，該犯罪集團於2025年3月至11月期間，共試圖為12名香港身份證持有人開設「積金易」賬戶，其中3名受害人的強積金存款被成功轉移，合共損失約180萬元。

積金易

網罪科人員經過情報分析，鎖定一名主腦及兩名骨幹成員，年齡介乎39至65歲，三人分工清晰，分別負責策劃詐騙細節，招攬及安排不同傀儡成員冒充受害人開立積金易戶口及銀行戶口，以收取款項，控制受害人的積金易戶口進行提款，招攬傀儡戶口以助清洗黑錢，並最终親自在傀儡戶口提取相關款項等。
 
警方調查更發現，該集團為逃避追查，共利用多個由「傀儡」人士開設的銀行戶口，進行多層次、跨行的資金清洗。僅在2025年10月至11月期間，這些傀儡戶口便已清洗非法所得高達港幣7800萬港元。
 
警方本月17日展開拘捕行動，拘捕了5名男子，包括一名集團首腦、兩名骨幹成員及兩名傀儡戶口持有人，年齡介乎28歲至65歲，涉嫌干犯「串謀詐騙」及「洗黑錢」。行動中內檢取約二萬元現金，被捕人犯案時所穿的衣著，懷疑已連接受害人的積金易平台戶口的手機，涉及提取強積金的虛假文件及傀儡銀行戶口的相關文件等。

警方網絡安全及科技罪案調查科科技罪案組警司張巧儀指，截至現時為止，積金易平台確認現階段有12名人士資料被盜用，當中3名人士遭到實際金錢損失，合共約180萬元。另外有6名人士資料雖被用作於積金易平台開戶，但戶口內資金沒有被盜取，另外3名人士個人資料曾經被嘗試用作開戶，但不成功。

警方網絡安全及科技罪案調查科科技罪案組警司張巧儀

警方指，騙徒利用受害人身份證資料，以複製一張假身份證，假扮受害人去提取受害人於積金易存有的財產，所以提醒市民要妥善保管自己個人資料及身份證明文件，切勿輕易將身份證上個人資料提供予其他人，避免被不法之徒利用。