釣魚網騙案急升65% 在家工作系統風險高

林嘉棋(左至右)、盧金榮、網罪科警司范俊業及總督察葉卓譽表示,釣魚騙案猖獗,呼籲各界慎防受騙。

(星島日報報道)疫情下企業運作愈趨數碼化,釣魚攻擊也日益猖獗,警方透露騙徒除了利用釣魚電郵詐財,近期又採用「低科技」手法,假冒銀行或電子支付平台職員致電受害人,以協助登記消費券等藉口套取網上銀行密碼,騎劫帳戶轉走存款。對於在家工作日益流行,警方提醒,員工遠端登入公司系統存有較大風險,一旦個人電腦被入侵,黑客可進入公司網絡進行攻擊;商界代表指出,不少中小企業仍使用傳統網絡保安系統,未必能保障在家工作的網絡系統安全,冀各界努力打擊網絡罪案。

香港電腦保安事故協調中心(HKCERT)發表今年第一季報告,錄得八百零六宗釣魚網站相關事故,較去年同期的四百九十五宗上升六成五。網絡安全及科技罪案調查科(網罪科)警司范俊業表示,導致數據外泄最主要或最危險途徑是電郵,原因是員工使用電郵時警覺性或敏感度不足。

電郵是數據外泄主要途徑

范俊業指出,黑客主要偽裝速遞公司、銀行、網上付款服務商甚或政府機構,以漁翁撒網方式發放載有惡意連結、二維碼或含有附件的釣魚電郵,誘使受害人點擊登入虛假網站,以不同藉口套取其個人或敏感資料,繼而騙財,部分釣魚電郵更載有惡意勒索軟件,當企業人員打開後,電腦會受感染,不法分子隨即勒索。

警方今年首四個月接獲的釣魚騙案,大部分屬於假冒郵遞服務和電子支付平台。范表示,前者錄得一百三十五宗,與去年一至四月的一百三十二宗相若,損失金額四百七十萬元,較去年同期上升一點三倍;至於後者,今年首四個月錄得七十七宗,損失金額九十萬元,這類手法於去年五月發現,及至去年十二月共錄得二百七十宗相關案件,損失高達三百三十萬元。

范續稱,警方最近留意到犯案新手法是利用語音通話,騙徒會假冒銀行或PayMe等電子支付平台職員致電受害人,以協助登記消費券等藉口騙取網上銀行或支付平台密碼,以及一次性密碼,繼而騎劫帳戶並將存款轉走。

美資投資公司被騙7500萬

電郵騙案方面,范說黑客主要針對商業用戶,警方今年首四個月接獲一百二十七宗案件,損失金額高達三點三億元,損失最大案件的受害人是美資投資公司員工,騙徒發出假冒電郵,聲稱是其公司客戶,要求匯款用作購買兩個新加坡住宅,員工不虞有詐,先後四次將合共九百六十萬美元(折合七千五百萬港元)存入騙徒的兩個本地銀行戶口。

網罪科總督察葉卓譽表示,該科繼去年舉行釣魚電郵演習後,今年四月份再舉行有關演習,共邀請六十一家不同行業的公司和機構,包括政府部門、金融機構、運輸界及中小企業等,合共三千一百七十五人參與,眾人一個月內收到五封不同主題的電郵,以測試對於釣魚電郵的敏感度及警覺性。

結果顯示,一千零九十九人有點擊電郵,點擊率近三成五,當中三成二人士開啟多於一封電郵的連結,另有四十八家、近七成九的公司至少有一名員工點擊電郵,至於整體點擊率為百分之十二點五,與外國同類演習數字相若;最多參加者上釣的電郵主題則是「包裹領取通知」,約兩成人打開有關郵件,其次是「稅務問題」,佔約一成六。

包裹領取通知最多人上釣

葉提醒,目前不少員工在家工作,當中最大風險是遠端登入公司系統,如果員工電腦受到入侵,黑客可能進入公司網絡進行攻擊,假若公司內部保安系統不足,後果會非常嚴重。

香港中華廠商聯合會常務副會長盧金榮博士表示,現時很多中小企業仍使用傳統網絡保安系統,未必能保障在家工作系統的安全,稍一不慎可能「中招」會造成嚴重損失,員工應盡力保護個人資料,又期望各界能努力打擊網絡犯罪。

 

香港