【Hack in HK】網罪科行動報告 商業電郵騙案爆升一倍損失8億

成日同大家報導全球黑客透過唔同手法發動攻擊，但好似好離身喎，中親招果啲都係外國大企業，係咪唔多關我哋香港事呀？咁就要睇下香港警務處網絡安全及科技罪案調查科（下稱「網罪科」）最新發表嘅行動報告喇。原來單係今年頭一季，本港已發生 153 宗商業電郵騙案，雖然比上年同期減少 26 宗，但損失金額反而多咗一倍，達 8.64 億港元！而網罪科為咗打擊惡意網域，更喺今個月 14 至 20 日期間開展「馭風行動」，偵測到 79,926 個惡意網域，包括釣魚網站、惡意軟體網站等，其中 787 個更係針對本港嚟攻擊，造成超過 780 萬港元嘅金額損失，所以都唔好以為香港無黑客「關照」呀！

喺今次馭風行動入面，網罪科到訪過 16 間數據中心及聯絡咗 62 間網絡服務供應商，行動中發現到上面提及嘅惡意網域，而喺 787 個針對本港嘅網域中，就有 170 個係利用新型冠狀病毒為主題，例如假扮成醫療用品銷售平台，或假扮官方機構發布新冠相關虛假消息等，去騙取網民嘅金錢或個人私隱資料。不過，網罪科只係成功移除咗 713 個寄存香港嘅釣魚網站及殭屍網絡，原因就係因為其他嗰七萬幾個惡意網域都唔係喺香港註冊、無註冊人士喺香港、無齊全嘅登記資料等，所以必須要進一步跟進或聯絡海外服務供應商先可以移除。

進階手法襲港

而睇返今次嘅報告，網罪科亦歸納出近期比較特別嘅犯罪手法趨勢。第一種係結合電話騙案及惡意手機應用程式，騙徒自稱公安並聲稱受害人觸犯咗內地法例，受害人按指示安裝咗一個網上銀行保安手機應用程式，呢個程式唔單只可以偷走銀行帳戶登入資料，仲會攔截經 SMS 發送嘅 2FA 帳戶登入雙重驗證碼，結果幾日後受害人嘅帳戶就被轉走 300 幾萬港幣。第二種係冒充域名，例如maskproduction.com.hk係一間售賣口罩嘅公司所開設嘅域名，但騙徒就用maskproductionhk（.）com嚟冒充，有案件就曾損失超過 2000 萬港元。最後，亦有騙徒利用企業轉用遙距工作模式，盜取員工登入公司網絡嘅資料，入侵及掌握公司內部情況，再發動 BEC（Business Email Compromise）商業電郵詐騙攻擊，成功令公司員工將 1800 萬港元轉帳去假扮為海外同事嘅帳戶內。

以上方法，其實都係我哋平時報導開嘅網絡攻擊手法，所以香港絕對唔可能獨善其身㗎！無論係企業或市民，都要加強自己嘅網絡安全防禦力，而網罪科網站上就載有一啲免費嘅安全防護工具，包括惡意程式掃描、網站瀏覽防護及 Wi-Fi 防護。詳情可以瀏覽以下網頁：www.cybersecuritycampaign.com.hk

相關文章：【真假難分】reCaptcha API 提升釣魚電郵成功率