疫情下透過網上往還商業文件更為普遍,上海一間公司「接到」美國供應商電郵指匯率問題,要求將款項改匯至香港指定帳戶,而提供的電郵更附有負責人簽署式樣增加可信性,上海的公司其後才發現所接的是詐騙電郵,失款980萬美元(7,644萬港元),早前向香港警方報案。警方指首季科技騙案中,逾六成為電郵騙案,為測試企業員工警覺性,網絡安全及科技罪案調查科於4月與46間企業合作做「釣魚電郵演習」,員工事先知道可能會收到問題電郵,結果七成公司至少有一名員工仍不虞有詐點擊了釣魚電郵「中招」,逾三分一點擊了「雲端文件分享」的釣魚電郵。警方籲市民仔細留意電郵連結的異樣,提防被黑客透過惡意連結入侵。
警方公布最新數字,指去年錄得767宗電郵騙案,涉及損失約22.5億元,今年首季仍錄得145宗電郵騙案,涉約4.8億元。網罪科網絡安全組警司范俊業指,近期最大額的電郵騙案,是一間上海汽車零件公司在墨西哥分公司,去年10月底收到騙徒冒充美國供應商副總裁的電郵,指因匯率問題,促上海公司將款項匯至香港指定戶口。
黑客掌握供應商副總裁簽署
騙徒為增加「可信性」,在電郵列出附有供應商副總裁的簽署式樣,該上海公司由去年11月至今年1月先後7次匯款,共失980萬美元(7,644萬港元)。其後騙徒再以手機短訊要求更多匯款,上海的公司才覺有異常,於是致電美國供應商才發現被騙,最終向香港警方求助。范續指,網上騙案很多時需在實體查證後才察覺,籲企業或市民安全起見,收到可疑電郵時先在實體世界中查證。
最多人點擊雲端文件「中招」
為加強企業員工警覺,網罪科早前與46間企業包括銀行、金融、交通、電訊、醫療等做電郵演習,共1,388名企業員工參與。員工在知道即將收到可疑電郵下,仍有12%(169人)至少一次點擊了警方發出的釣魚電郵,當中一成七人開啟了多於一封釣魚電郵的連結或附件。七成(32間)公司至少有一名員工曾開啟「問題」電郵,范俊業指,「嚴重網絡攻擊往往由一小缺口開始,一名員工打開連結已可令黑客有機會入侵整個公司網絡系統。」
不少黑客發出的釣魚電郵,亦會以熱門內容吸引用戶點擊惡意連結或附件,警方在今次演習亦寄出以不同時事熱話為主題,或模擬常用的電郵騙案手法的模擬釣魚電郵,而169名「中招者」中,34%點擊了雲端文件分享的釣魚電郵,另有逾兩成點擊以疫苗接種計劃(26%)及稅務退還(22%)為主題的釣魚電郵。
香港總商會數碼、資訊及電訊委員會副主席黃玉娟指,觀察到黑客透過釣魚電郵便可入侵個別員工的電郵,藉以監察電腦鍵盤紀錄、偷取帳戶資料及模仿公司內部電郵格式,再散播釣魚電郵至全公司。
網罪科網絡安全組總督察葉卓譽亦籲企業或市民提高警覺,留意電郵的網域或字眼異樣,一些惡意連結的網域與原本網址會有差異,如「.hk」或會變成「.biz」、「.cc」等網域;網站內容亦可能出現錯誤文法及字眼,或無法轉成中文版、輸入錯誤資料仍然可成功「過版」等,都是假網站的常見破綻。