會計員工WhatsApp帳號被盜損失1900萬 釣魚攻擊演習經理級中招率較高

一名公司會計職員去年收到假冒WhatsApp管理員發出的系統更新通知，被誘騙提供戶口驗證碼，帳戶其後遭騙徒盜用。騙徒翻查帳戶內的業務往來對話後，冒充受害人公司的長期合作夥伴，謊稱更改收款帳戶；受害人未有核實對方身份，同日分4次將接近1900萬港元轉入對方提供的戶口。

警務處 HKIRC 釣爾輕心社交工程演習2025聯合傳媒發布會。左：網罪科總督察梁以德；中：網罪科署理高級警司許綺惠；右：HKIRC行政總裁黃家偉。巴士的報記者攝

警方披露，上述個案為2025年損失金額最高的單一釣魚騙案。網罪科署理高級警司許綺惠指出，2025年本港釣魚騙案宗數雖由2024年的2731宗大跌60%至1093宗，惟損失金額卻由5000萬元倍增至1.1億元，平均每宗損失由約1.8萬元急升至近10萬元，升幅逾4.5倍。

2025年釣魚騙案雖然宗數下降，但涉及金額卻倍增至1.1億元，平均單宗損失金額飆升4.5倍至10萬港元。

網罪科署理高級警司許綺惠表示，騙徒目標已轉向奪取帳戶控制權，直接導致受害人蒙受巨額財政損失。巴士的報記者攝

騙徒直接取得銀行或證券行戶口控制權

許綺惠表示，損失金額上升主要源於騙徒手法轉變，由盜取信用卡資料，轉為直接奪取受害人的證券或網上銀行戶口控制權。她指出：「現在的連結，很多時候騙徒的目標都是取得你的帳戶，他可以從證券公司奪取你的戶口，即是當你輸入了登入資料之後，你的戶口有多少錢或多少股票，其實全部都會損失。」

警方與多方機構合作舉辦「釣爾輕心」社交工程演習2025，旨在提升各界對釣魚攻擊的防禦意識。

當局同時公布釣魚攻擊演習結果，網罪科聯同香港互聯網註冊管理有限公司（HKIRC）及數字政策辦公室公布「釣爾輕心社交工程演習2025」結果，今次演習於2025年10月至2026年1月間進行，共301間機構、逾5.3萬名員工參與電郵演習，較上年分別增加39%及43%。

釣魚攻擊演習整體被釣率6.4%  偽裝內部郵件易得手

HKIRC行政總裁黃家偉指，約13.4%參與員工曾點擊釣魚連結，逾89%參與機構最少有一名員工中招；在已點擊連結的員工中，約48%進一步輸入個人資料，整體被釣率達6.4%。他表示：「個別機構可能已採取了很多防護措施，但是只要有電郵進入了員工的郵箱，大概有一成多的人都有機會點開那條連結，當中還有一半可能會進一步下載或上傳資料。」

HKIRC行政總裁黃家偉指出，演習結果顯示即使機構設有防護，員工的一時疏忽仍是網絡安全的最大缺口。巴士的報記者攝

演習亦發現，經理級或以上員工的點擊率達15.5%，高於一般員工的13%，黃家偉分析指，管理層每日需處理大量電郵，在繁忙情況下更易一時疏忽。此外，模擬公司內部發出的釣魚電郵點擊率達8.6%，高於外部郵件的6.4%，反映員工對「內部郵件」的警覺性相對較低。

員工階層分析顯示，經理級或以上員工的點擊率比一般員工更高，反映管理層面臨較高的網絡社交工程風險。

機構規模分析反映，大型企業在演習中表現最為堪憂，點擊釣魚連結的機構比例高達96%。

網罪科總督察梁以德表示，警方已於2024年成立「守網聯盟」，匯集逾130個來自政府、銀行、電訊、科技及教育等界別的機構夥伴，並於2025年10月升級「防騙視伏App」，加入人工智能分析及「流行騙局排行榜」功能，市民舉報的可疑連結一經核實，將即時與電訊業界共享以作封鎖。他提醒市民：「只要記住一停、二想、三核實，不要掉以輕心，騙徒就不會有機可乘。」

網罪科總督察梁以德詳述「守網聯盟」如何透過跨界別合作，即時封鎖惡意連結以源頭攔截詐騙訊息。巴士的報記者攝

演習中模擬的三種「最吸睛」釣魚內容，包括新春禮券、系統更新及IT支援驗證，均能輕易誘使員工放下戒心。

警方提出防騙「4大重點」及「1停2諗3核實」口訣，呼籲市民透過官方渠道核實任何涉及金錢或敏感資料的要求。

香港研究協會於3月2日至20日進行一項全港性隨機抽樣電話調查，成功訪問了1082名18歲或以上市民，以瞭解市民對騙案的防範意識。調查發現，近半市民對防範騙案有信心，但實際防騙知識仍有不足之處。

香港研究協會網站圖片

調查顯示，詐騙信息在市民日常生活中相當普遍。兩成半受訪者表示平均每週會收到「4至6個」不同形式的疑似詐騙信息，表示每週收到「1至3個」的佔兩成一。此外，每週收到「7至9個」、「10至20個」及「21個或以上」的受訪者分別佔17%、15%和13%，僅有半成受訪者表示「沒有收到過」。

香港研究協會

在自我評估方面，合共四成七的受訪者表示對自己能夠有效防範各種騙案有「很大信心」或「較大信心」。表示信心程度「普通」的佔兩成八，而表示「沒有信心」及「信心不大」的則合佔兩成半，反映較多市民自認對防範騙案有足夠警覺性。

是次調查以5條問題組成「客觀防騙意識」量表進行評估。結果顯示，市民整體防騙意識屬中等偏上水平。在具體知識上，最多受訪者（77%）能正確識別出以銀行名義發出但發送者名稱前沒有「#」號的交易異常短訊屬於詐騙。其次，有63%受訪者知道「+852」字頭的陌生來電是假扮本地電話，很可能是詐騙。

香港研究協會調查

然而，在網上購物安全方面，知識明顯不足。高達五成三受訪者表示「不知道」如何判斷購物網站是否可靠。僅兩成一受訪者會透過「查看網站是否經過第三方認證」來判斷，一成六會「檢查網站有否以 https 開頭」，另有一成一表示「不檢查」。此外，有58%受訪者表示已為重要帳户（如網上銀行）啟動雙重認證功能。

根據量表總分計算，得分為0分（低防騙意識）的受訪者佔4%，1分佔10%，2分佔19%，3分佔23%，4分佔25%，5分（高防騙意識）佔19%。

調查亦發現，六成三受訪者表示「有」接觸過政府或相關部門發佈的防騙宣傳資訊，表示「沒有」的佔兩成四。香港研究協會負責人促請特區政府繼續大力推廣防騙教育，適時更新防騙資訊及宣傳內容，同時加強對電訊及網絡騙案的監管與打擊力度。