會計員工WhatsApp帳號被盜損失1900萬 釣魚攻擊演習經理級中招率較高

一名公司會計職員去年收到假冒WhatsApp管理員發出的系統更新通知，被誘騙提供戶口驗證碼，帳戶其後遭騙徒盜用。騙徒翻查帳戶內的業務往來對話後，冒充受害人公司的長期合作夥伴，謊稱更改收款帳戶；受害人未有核實對方身份，同日分4次將接近1900萬港元轉入對方提供的戶口。

警務處 HKIRC 釣爾輕心社交工程演習2025聯合傳媒發布會。左：網罪科總督察梁以德；中：網罪科署理高級警司許綺惠；右：HKIRC行政總裁黃家偉。巴士的報記者攝

警方披露，上述個案為2025年損失金額最高的單一釣魚騙案。網罪科署理高級警司許綺惠指出，2025年本港釣魚騙案宗數雖由2024年的2731宗大跌60%至1093宗，惟損失金額卻由5000萬元倍增至1.1億元，平均每宗損失由約1.8萬元急升至近10萬元，升幅逾4.5倍。

2025年釣魚騙案雖然宗數下降，但涉及金額卻倍增至1.1億元，平均單宗損失金額飆升4.5倍至10萬港元。

網罪科署理高級警司許綺惠表示，騙徒目標已轉向奪取帳戶控制權，直接導致受害人蒙受巨額財政損失。巴士的報記者攝

騙徒直接取得銀行或證券行戶口控制權

許綺惠表示，損失金額上升主要源於騙徒手法轉變，由盜取信用卡資料，轉為直接奪取受害人的證券或網上銀行戶口控制權。她指出：「現在的連結，很多時候騙徒的目標都是取得你的帳戶，他可以從證券公司奪取你的戶口，即是當你輸入了登入資料之後，你的戶口有多少錢或多少股票，其實全部都會損失。」

警方與多方機構合作舉辦「釣爾輕心」社交工程演習2025，旨在提升各界對釣魚攻擊的防禦意識。

當局同時公布釣魚攻擊演習結果，網罪科聯同香港互聯網註冊管理有限公司（HKIRC）及數字政策辦公室公布「釣爾輕心社交工程演習2025」結果，今次演習於2025年10月至2026年1月間進行，共301間機構、逾5.3萬名員工參與電郵演習，較上年分別增加39%及43%。

釣魚攻擊演習整體被釣率6.4%  偽裝內部郵件易得手

HKIRC行政總裁黃家偉指，約13.4%參與員工曾點擊釣魚連結，逾89%參與機構最少有一名員工中招；在已點擊連結的員工中，約48%進一步輸入個人資料，整體被釣率達6.4%。他表示：「個別機構可能已採取了很多防護措施，但是只要有電郵進入了員工的郵箱，大概有一成多的人都有機會點開那條連結，當中還有一半可能會進一步下載或上傳資料。」

HKIRC行政總裁黃家偉指出，演習結果顯示即使機構設有防護，員工的一時疏忽仍是網絡安全的最大缺口。巴士的報記者攝

演習亦發現，經理級或以上員工的點擊率達15.5%，高於一般員工的13%，黃家偉分析指，管理層每日需處理大量電郵，在繁忙情況下更易一時疏忽。此外，模擬公司內部發出的釣魚電郵點擊率達8.6%，高於外部郵件的6.4%，反映員工對「內部郵件」的警覺性相對較低。

員工階層分析顯示，經理級或以上員工的點擊率比一般員工更高，反映管理層面臨較高的網絡社交工程風險。

機構規模分析反映，大型企業在演習中表現最為堪憂，點擊釣魚連結的機構比例高達96%。

網罪科總督察梁以德表示，警方已於2024年成立「守網聯盟」，匯集逾130個來自政府、銀行、電訊、科技及教育等界別的機構夥伴，並於2025年10月升級「防騙視伏App」，加入人工智能分析及「流行騙局排行榜」功能，市民舉報的可疑連結一經核實，將即時與電訊業界共享以作封鎖。他提醒市民：「只要記住一停、二想、三核實，不要掉以輕心，騙徒就不會有機可乘。」

網罪科總督察梁以德詳述「守網聯盟」如何透過跨界別合作，即時封鎖惡意連結以源頭攔截詐騙訊息。巴士的報記者攝

演習中模擬的三種「最吸睛」釣魚內容，包括新春禮券、系統更新及IT支援驗證，均能輕易誘使員工放下戒心。

警方提出防騙「4大重點」及「1停2諗3核實」口訣，呼籲市民透過官方渠道核實任何涉及金錢或敏感資料的要求。

一名本地貿易公司董事，接到一通聲音熟悉的電話，對方自稱是長期合作的加密貨幣礦機製造商職員，語氣如常，細節吻合，於是他按照指示，將一筆又一筆的分期款項匯入新的加密貨幣錢包。直至真正的製造商職員發現自己的通訊帳戶被盜用，騙局才告揭穿——損失已達1.45億港元，是2025年香港損失金額最高的科技罪案。

這不是電影情節。這是香港警務處網絡安全及科技罪案調查科（網罪科）高級警司梁靄琳，在最新一份《網絡安全報告2025》發布會上，向傳媒披露的真實案例。

警方發布《網絡安全報告2025》，披露過去一年本港科技罪案趨勢及案例。

宗數跌、損失升　威脅情報暴增四成

香港警務處網絡安全及科技罪案調查科（網罪科）於周二（12日）舉行《網絡安全報告2025》傳媒發布會，披露過去一年本港科技罪案趨勢及案例。

（左起）網絡安全及科技罪案調查科高級警司梁靄琳；網絡安全及科技罪案調查科總警司林焯豪；網絡安全及科技罪案調查科網絡安全組警司許綺惠。巴士的報記者攝

數字表面看似向好：2025年全港科技罪案錄得約3萬1571宗，較2024年下跌近7%；進入2026年，首季案件更跌至6504宗。然而損失金額卻由51.3億港元飆升至63.2億港元，增幅逾23%。

網罪科總警司林焯豪解釋，宗數下跌，部分反映過去幾年警方在執法、情報交流及公眾教育各環節持續投入初見成效；但黑客的攻擊愈來愈精準，單一事件造成的破壞亦愈來愈大。

林焯豪表示黑客攻擊日趨精準，單一事件造成的破壞亦愈來愈大。 巴士的報記者攝

網罪科高級警司梁靄琳補充，2025年具破壞性的入侵系統活動雖只得52宗，佔整體科技罪案不足0.3%，但損失金額由2550萬港元急升至6260萬港元。「每一次的攻擊，對受害機構可以造成非常嚴重的後果，所以是不可以忽視的。」她說。

在情報層面，威脅規模同樣觸目：網罪科2025年全年處理超過3500萬項網絡威脅情報，按年大增約四成，當中逾154萬項直接針對香港。林焯豪坦言，增幅背後明顯由人工智能驅動——黑客借助AI自動生成釣魚訊息、發動更難偵測的動態攻擊，攻擊門檻大幅降低。

網罪科2025年處理超過3500萬項網絡威脅情報，當中34%涉及系統安全漏洞。

人員疏漏釀禍　管理失誤開門揖盜

梁靄琳在發布會上拆解了一個令業界警惕的規律：大多數受害機構，並非因為遇上高深莫測的黑客技術，而是因為自身管理出現多個同時存在的漏洞，讓入侵者輕易得手。

常見系統安全漏洞包括遙距登入保護不足、密碼外洩及審計日誌管理不當。

常見情況包括：機構意外對外開放了遠端登入系統，同時又缺乏多重身份認證，黑客只需暴力破解密碼便可登入；部分機構甚至沒有集中管理系統日誌，出事後連追查路徑都無從入手，監控形同虛設。

2026年2月發生的一宗案件，更是「內部人員」釀禍的典型：一名加密貨幣交易平台軟件外判商員工，涉嫌利用系統漏洞查看平台客戶的電子錢包資料，將價值約2000萬港元的加密貨幣轉走，其後遭警方逮捕。

網罪科亦於2025年對香港重要基礎設施進行逾10萬次網絡資產安全評估，發現約7.8%存在系統漏洞，當中5%屬高危級別，主要涉及登入憑證外洩及雲端儲存配置不當。針對各界別的偵察活動中，運輸、醫療及政府部門是主要目標；銀行業及通訊業因系統互聯度高，高危漏洞比例亦相對突出。

黑客團夥活動主要針對政府、銀行及金融服務、通訊及運輸等界別。

量子破密的倒數時鐘

林焯豪提出一個較少在公眾討論中出現的長遠威脅：量子技術破密。

警方預測2026年後的網絡威脅將涉及量子技術、人工智能及雲端運算等領域。

他解釋，量子電腦的運算速度以幾何級數超越現有電腦，理論上可以在極短時間內破解目前通行的加密方式。更令人憂慮的是，部分黑客現時已開始「先儲存、後解密」——即先把截取到的加密數據記錄下來，等待量子技術成熟之後再行破解。

「我們想趁現在好早就提醒公眾，如果是大機構或者涉及重要設施，需要開始考慮添置後量子技術，希望及早保障未來的數據安全。」林焯豪說。這不是即時危機，但卻是已開始倒數的時鐘。

以科技應對科技

面對AI驅動的攻勢，林焯豪的回應直接：「我們的策略是用科技應對科技。」網罪科已在防騙視伏APP及情報分析系統中引入人工智能框架，加快對可疑電話及網址的評估與預警；同時亦研究引入相關AI工具。

網罪科亦宣布，今年7月將與數字辦合辦第十屆跨部門網絡安全演習，加入人工智能安全內容；8月舉辦為期3日的網絡攻防精英培訓暨攻防大賽2026，廣邀業界及學生參與。

警方將透過演習及攻防大賽，加強與各界別在網絡安全方面的防禦協作。

梁靄琳對機構的建議，說來並不複雜：減少對外暴露的系統入口、嚴格管理帳戶權限、確保系統可被監控及追蹤，並將網絡安全納入日常管治，而非只在出事後才補救。「機構要有系統性的網絡安全策略，同時不應單打獨鬥，持續收集並善用網絡安全情報，是非常重要的。」

梁靄琳建議機構應減少對外暴露的系統入口，並將網絡安全納入日常管治。 巴士的報記者攝