【點新聞報道】水能載舟,亦能覆舟。隨着人工智能(AI)興起,不法之徒的騙局也變得更高智能。香港去年整體科技罪案宗數按年下跌約6.9%,但損失金額卻上升23.2%,其中滲透市民日常生活的「釣魚」騙案數字,跌幅約六成,惟損失金額增加逾一倍,反映網絡罪案「貴精不貴多」,正向高度針對性、高度破壞力方向發展。警方分析發現,「釣魚」攻擊向三方面進化,包括騙徒以低成本網購「釣魚套件」配合自動化工具,大規模生成和發布海量詐騙短訊;針對受害人「量身訂造」個性化行騙「劇本」;最後是利用人工智能「深偽技術」增強仿真度,更精準、更逼真行騙,令機構員工或市民防不勝防。去年就有一名會計員中招,令公司損失1,900萬元。
去年11月,一間公司會計職員收到一條WhatsApp短訊,騙徒假冒WhatsApp管理員聲稱系統更新,要求提供賬戶驗證信息。事主按照指示輸入密碼,變相交出訪問權限,令騙徒洞悉賬戶所有對話,並冒充公司合作夥伴,用新手機號碼向事主發送訊息,訛稱收款賬戶已更改,並提供3個新的銀行賬戶,事主未經核實,分4次轉出合共1,900萬元。
每4宗網絡威脅有1宗涉「釣魚」
警方網絡安全及科技罪案調查科署理高級警司許綺惠日前接受訪問時分析「釣魚」騙案最新趨勢,她指「釣魚」攻擊趨向更精準、更逼真、更難識別的方向發展。從香港整體網絡威脅形勢分析,去年針對香港的網絡威脅情報超過150萬宗,當中「釣魚」攻擊佔約27%,即平均每4宗威脅就有1宗涉及「釣魚」。
香港「釣魚」騙案報案從前年的2,731宗,下跌至去年的1,093宗,但損失金額則由前年約5,000萬元,上升至去年的1.1億元。騙徒會設計「釣魚」連結引導受害人在假網站輸入證券戶口、網上銀行或信用卡登入資料以盜取更多款項,市民一旦登入「釣魚」連結便會「輸身家」。
暗網有販售多樣化「網釣套件」
警方觀察到「釣魚」攻擊已經全面進化,主要集中在三方面:第一,規模化和自動化工具全面滲透。騙徒很容易從不同渠道獲取「釣魚工具」服務,降低技術門檻,令犯罪工具完全平台化,騙徒只需網購工具即可進行大規模發動攻擊,再配合自動化工具,可以全天候大規模生成詐騙內容,再經由短訊(SMS)、社交媒體或語音通話等多個渠道滲透。
據資料顯示,有一種「網絡釣魚即服務」平台,是黑客在暗網販售多樣化網釣套件與範本,提供一次性買斷或訂閱服務,騙徒能以低成本獲取技術,令近年來釣魚攻擊愈發頻繁及具威脅性。
蒐個人訊息量身訂造「釣魚訊息」
第二是個人化包裝,現時愈來愈多人在社交媒體分享個人生活,令騙徒容易收集受害人背景而「量身訂造」「釣魚」訊息,令行騙內容更具說服力,騙取受害人的信任,精準偽裝不同政府機構、企業、機構等,騙取賬號密碼或者信用卡資料。
用「深偽」工具模擬同事親友
第三是人工智能「深偽技術」,騙徒很容易在網上獲取「深偽」工具,製作仿冒圖片、聲音、畫面等,做到高仿真度模擬上司、同事,甚至是業務夥伴的聲音和樣貌直接誘騙。這些詐騙訊息透過AI驅動,在語氣和邏輯上,憑肉眼難分辨真假,令市民防不勝防。
因為市民幾乎把所有的通訊和交易都集中在手機進行,短訊是最快最容易接觸用戶的渠道。去年「釣魚」騙案中「釣魚」短訊佔超過九成,「釣魚」電郵佔約2.6%,透過WhatsApp、Telegram、Messengers以及其他即時通訊軟件發放「釣魚」短訊佔6.5%。而用「釣魚」電郵或短訊行騙的手法都一樣,不過「釣魚」電郵往往涉及金額相對較大,因此市民對兩者都不能掉以輕心。
警方提醒市民,AI時代的騙案,已不再是騙徒「識唔識做」,而是可以做得「多快和多真」,市民一刻放鬆警惕,隨時被「釣爾輕心」損失金錢。
演習證高級職員較易中招
因應「釣魚」攻擊的不斷演變及高風險,警方由去年10月至今年1月,聯同香港互聯網註冊管理有限公司(HKIRC)及數字政策辦公室舉辦「『釣爾輕心』社交工程演習2025」,共有301間機構逾5萬人參與,目標透過模擬真實騙案情況,提升員工對「釣魚」攻擊的警覺性。
結果可見,即便企業部署完善系統防護,攔截大量「釣魚」電郵,只要有少量「釣魚」電郵順利進入員工收件箱,而且經理級或以上人員的超連結點擊率達15.5%,高於全體參加者13.4%的平均水平,但高級職員中招帶來的影響和損失可能更為嚴重。
警續用科技及跨界合作提供防護
今次「釣爾輕心」演習,除涵蓋電郵渠道外,因應短訊是目前「釣魚」騙案最主要的犯案途徑,以及不少公司會為員工配備公務手提電話,所以新增「釣魚」短訊(SMS)演習。
總結而言,「釣魚」電郵的超連結平均點擊率為13.4%,「釣魚」短訊的超連結點擊率為5.9%,雖然「釣魚」短訊的中招人數較少,但危險程度不容忽視。因短訊傳達更即時,日常接收數量多,易被忽視;另短訊內容簡潔,僅有數十到百餘字,難以辨認發送方真偽,也缺乏足夠資訊判斷是否為「釣魚」資訊。
網絡安全及科技罪案調查科總督察梁以德表示,要有效打擊「釣魚」騙案,各界必須要通力合作才可發揮最大成效。警方一直積極和各持份者致力防騙工作,達到一加一大於二的協同效應;其中包括匯集逾130個來自政府、銀行、電訊商和科技公司的守網者聯盟,以及「守網者」和香港互聯網註冊管理有限公司的「網絡安全員工培訓平台」,剖析最新騙案手法,幫助市民迅速掌握資訊及早防範。
另去年10月,警方推出全新AI+升級版「防騙視伏App」,更新公眾舉報平台,結合人工智能的分析技術,能即時分析市民舉報的情報,自動評估風險及納入資料庫,並按風險程度用黃色或橙色作初步標示;經人工覆檢確認後,高風險項目就會升級為紅色。平台還新增詐騙手法排行榜,每日統計最新的罪案趨勢,自動整理出全港最流行的詐騙手法。總括而言,警方將持續運用科技及跨界別協作平台,為市民提供更全面、更主動的安全防護。
(來源:香港文匯報 記者:曾立本)
收藏
取消收藏
分享
