全球經濟趨向數碼化,電郵是企業日常溝通不可或缺的工具,不過稍一不留神便容易讓騙徒有機可乘,本港去年電郵騙案損失金額更達逾14億港元。警方網罪科指,騙徒主要透過更改電郵域名(email address)或假冒公司高層,利用收件人粗心大意得逞,其中中小企因網絡安全意識較薄弱更易中招。為預防電郵騙案,警方與香港大學共同研發了一款名為V@nguard的「可疑電郵偵測系統」,期望幫助企業有效辨別詐騙電郵。
電郵名稱作細微更改,例如將字母細階「l」轉做數字「1」。
騙徒把原本真確電郵域名中的「companies」轉做「companiez」。
(左起)楊敏健、姚兆明、黃震宇和張偉豪。
根據警方數字,本港2021年首11個月共錄得14,602宗科技罪案,比前年同期上升25%,損失金額達27.47億元,與前年同期相若。當中有512宗屬於電郵騙案,損失金額超過14億元,佔整體科技罪案損失的一半,超過七成受害者為中小企業。警方指中小企電腦保安措施不足、欠缺專業人士執行網絡安全設定和員工意識薄弱都會令騙徒有機可乘。
假冒CEO電郵最常見
騙徒假冒電郵的手法非常類近,包括將電郵名稱作細微更改,例如將英文字母細階「l」轉做數字「1」、「b」轉做「d」、「o」轉做「0(數字)」、原來只有一個「s」寫成「ss」;或將電郵地址用戶名稱或域名的位置互換更改;另一種常見手法則是假造電子郵件的顯示名稱,偽冒夥伴公司。更甚的是,電郵經常附上要求「迅速回應」的字句,例如「urgent reply」、「quick response」;或假冒受害公司行政總裁(CEO),務求製造壓力,令收到電郵的員工上當。2021年10至11月期間,有騙徒冒充一間海外母公司的會計高層,要求香港子公司職員分11次匯款到4個新戶口,導致受害公司共損失了1億500萬港元,成去年損失金額最高的個案,警方拘捕了1名傀儡戶口持有人。
警方指,騙徒為增加「可信性」,會透過公司網頁做「資料蒐集」,包括掌握公司管理層、合作夥伴和員工的資料,令他們編寫出極為貼近公司實質業務情況的詐騙電郵。由於員工每天要處理大量郵件,這些假冒郵件難被「肉眼偵測」,容易令員工誤墮騙徒陷阱,令公司蒙受損失。
網罪科總督察張偉豪指,去年3至6月期間,有騙徒偽冒成一間工程器材公司的生意夥伴,利用一個與其夥伴公司十分相似的電郵域名(email address),把原本真確電郵域名中的「s」字(companies)轉做「z」字(companiez),受害公司職員不虞有詐,便按指示存入超過1,700萬港元入騙徒指定的新銀行戶口。此外,去年1月,一間環保工程公司的職員,因只確認了「寄件者顯示名稱」屬於其生意夥伴,但未有留意電郵地址與真確電郵完全不同,便按假冒電郵的指示轉帳了500萬元。警方表示,兩宗案件均是受害公司其後向生意夥伴查證後,才發現受騙而報警求助。
接收新電郵地址郵件將彈警告
為了幫助企業預防電郵騙案,網罪科聯同香港大學共同研發了V@nguard,原理是將企業收到的電郵地址與曾經接收過的電郵地址作對比,從而分辨那些是客戶真確的地址。香港大學計算機科學系教授姚兆明指,員工先需獨立在電郵帳戶建立「已知寄件者清單」,若寄件者不在該清單內,屬首次接收的電郵地址,系統將在主旨顯示「New Sender(新寄件者)」,並在電郵內容的開端出現紅色警告字句,提醒收件者提高警覺,確保電郵的真確性。如員工收到可疑電郵,可把寄件者列入「垃圾郵件清單」,公司裏所有的員工均不會在收件箱見到該可疑電郵。而企業安裝V@nguard後的電郵資料會存於自己公司的伺服器,不會傳到第三方,不存在私隱問題。
網罪科高級警司黃寰宇表示,安裝系統後可幫助企業自動識別日常生意電郵往來會出現的可疑電郵,預防企業特別是中小企墮入電郵騙局。V@nguard將於本月10日正式推出,供企業免費安裝及使用,但現階段只適用於使用Linux作業系統運行的電郵伺服器上,未來將研發推廣之其他電郵系統;套件附有下載資料夾和說明書,有興趣人士可透過警方守網者網頁(http://cyberdefender.hk/)下載,另設電話熱線(2860 2913)及電郵([email protected])供查詢或作技術支援。