立法會七題:打擊「網絡釣魚」
**************
問題:
香港網絡安全事故協調中心於去年共處理12 536宗保安事故,其中「網絡釣魚」佔整體個案超過一半,對比二○二三年上升108%。此外,於本年一月至二月期間,香港金融管理局(金管局)的網站登載逾50次與銀行有關的網絡釣魚即時信息及欺詐網站的新聞稿。就打擊網絡釣魚,政府可否告知本會:
(一)過去五年,每年涉及網絡釣魚的詐騙個案宗數及損失的金額分別為何,並按行業列出分項數字;
(二)自「防騙視伏器」推出至今,在公眾舉報平台上接獲市民舉報的釣魚網站中,實際被警方列入詐騙資料庫的比例為何;有否就被舉報的釣魚網站制訂即時下架機制;如有,下架該等網站的平均所需時間為何;
(三)鑑於據報,由於發送一次性手機短訊驗證碼(OTP)的短信容易遭黑客攔截,金管局已要求銀行於去年底前,落實要求客戶使用其手機內的銀行應用程式認證網上信用卡交易的措施,取代使用短訊發出OTP作驗證,金管局會否制訂逐步淘汰OTP作驗證的具體時間表;如會,詳情為何;如否,原因為何;及
(四)鑑於通訊事務管理局辦公室推出「短訊發送人登記制」,讓已登記成為「已獲認證的發送人」的公司或機構使用以「#」號開頭的短訊,協助市民識別短訊真偽,然而,據報有騙徒使用偽基站的非法無線電裝置繞過現有機制,冒認官方或金融機構發出詐騙短訊,當局會否研究制訂措施應對上述情況,同時加強宣傳,提高市民防騙意識;如會,詳情為何;如否,原因為何?
答覆:
主席:
詐騙是嚴重罪行。不論是透過甚麼方式進行,只要涉及違法行為,我們都會嚴厲打擊。問題中提及的「釣魚騙案」,一般是指不法分子透過發放短訊、電郵、語音、二維碼等作餌,以漁翁撒網方式發放,偽裝為銀行、電訊商、甚至政府部門等機構,聲稱收訊人的帳戶有異常、需要核實帳戶等,要求收訊人點擊內含的連結進入假網站,留下帳戶登入憑證、信用卡資料、個人資料等,藉資料再刷卡消費或轉走帳戶積分。警方連同政府不同部門一直全力打擊包括釣魚騙案在內的各類型的詐騙案,採取情報主導的執法行動,並透過公眾教育及不同的宣傳,提高市民對此類罪案的警覺性。
就議員的提問,經諮詢財經事務及庫務局及商務及經濟發展局後,回覆如下:
(一)警方自二○二三年起開始就「釣魚騙案」的案件數字作分類統計。二○二三年及二○二四年分別接獲4 322宗及2 731宗「釣魚騙案」的舉報,涉及損失金額分別為1億240萬元及5,350萬元。二○二五年首兩個月,警方共接獲242宗的相關舉報,較去年同期減少347宗,下跌58.9%。涉及損失金額共490萬元,下跌54.2%。
警方沒有就「釣魚騙案」中所涉及的行業作分項統計。
(二)「防騙視伏器」自二○二二年九月推出以來,截至二○二五年二月,共錄得超過760萬次搜尋,預警約95萬次詐騙及網絡安全風險,市民也透過「防騙視伏器」內的公眾舉報平台舉報超過35.5萬個可疑來電及超過3.8萬個可疑網站,成效顯著。
警方於二○二三年二月推出手機應用程式版本「防騙視伏App」,協助市民分辨可疑網上平台帳戶、收款帳戶、電話號碼、電郵地址及網址等,並提供防騙提示。現時「防騙視伏App」已經升級至備有自動偵測功能,應用程式內可疑來電警示及可疑網站偵測的功能會自動辨識詐騙來電和詐騙網站,如發現潛在詐騙或網絡安全風險,會即時發出通知,提醒用戶不要接聽或瀏覽。「防騙視伏App」同時也設有上文提及的公眾舉報平台讓市民舉報詐騙陷阱,進一步豐富資料庫的內容。
警方每天更新「防騙視伏器」的資料庫,亦會持續檢視及提升「防騙視伏器」的功能,並積極強化其他防騙措施。「防騙視伏器」的資料庫涵蓋市民舉報及警方從其他渠道,包括刑事調查及情報搜集及分析後所得的資料。我們並未就市民舉報的釣魚網站實際被警方列入詐騙資料庫的比例作統計。
此外,在通訊事務管理局辦公室(通訊辦)的協調下,警方及主要電訊商已建立機制,電訊商會根據警方提供的詐騙紀錄盡快攔截涉嫌進行詐騙的電話號碼及可疑網頁連結。截至二○二五年二月底,按警方要求,電訊商成功攔截約40 000個涉及詐騙案的網頁連結及封鎖超過8 600個涉嫌進行詐騙的電話號碼。通訊辦並沒有備存電訊商相關行動的平均所需時間紀錄。
(三)香港金融管理局(金管局)一直密切留意網上騙案趨勢,並積極推動銀行實施有效的反詐騙措施。發卡銀行由去年底開始已經陸續遵照金管局的指引,向客戶提供更安全的認證方法,客戶可透過銀行流動應用程式(App)而非經短訊(SMS)發出的一次性密碼(OTP)認證網上支付卡交易。據銀行統計數字,相關詐騙率下降了近80%。
因應最新的網上騙案手法,金管局於今年四月宣布三項新措施,簡稱「網銀安全ABC」,要求銀行加強網上銀行安全,以進一步提升客戶的防騙能力。
第一,銀行須於今年第四季或之前推出一項名為(A)「APP內認證」的新措施。客戶日後登入網上銀行和進行高風險交易時(例如新增收款人、提高轉帳限額、更改接收銀行信息的電話號碼、綁定網上銀行戶口到流動裝置等),須透過銀行的手機App進行認證,而不再使用SMS OTP。而在今年第三季開始,客戶綁定或重新綁定其流動裝置時,須通過人臉識別技術或相若嚴謹的身分驗證方法(例如親身到分行)進行認證,取代現時透過提供SMS OTP作為雙重認證。若客戶堅持使用SMS OTP認證交易或綁定其流動裝置,銀行則須根據金管局要求,就有關交易或綁定要求實施有效的風險管理措施,例如加強監察有關交易和延遲執行較高風險的交易。上述措施將有助逐步取代SMS OTP進行認證。
另外,銀行亦須於今年第二季推出其餘兩項新措施,即(B)「Bye bye高危功能」和(C)「Cancel可疑轉帳」。前者將允許客戶選擇停用提高轉帳限額及新增收款人這些網上銀行功能,以更配合客戶的個人需要並加強風險管理。後者則進一步提升「可疑帳號警示」機制的效能,讓巿民有充足時間查閱警示內容。
上述的「網銀安全ABC」三項新措施將共同為銀行客戶構建更全面的防騙保障。
(四)「短訊發送人登記制」(登記制)自二○二三年十二月二十八日起實施,並於二○二四年二月全面開放予各行業加入。截至二○二五年三月底,已有超過495個公私營機構(包括入境事務處、衞生署、警方、消費者委員會等)參與登記制。在登記制下,只有已登記成為「已獲認證的發送人」的公司或機構,才可使用其以「#」號開頭的「已登記的短訊發送人名稱」發出短訊。電訊商會攔截由非已獲認證的發送人透過互聯網發出的偽冒短訊。此外,為加強登記制的實施成效,通訊辦亦會在獲得「已獲認證的發送人」同意後,要求電訊商禁止懷疑以類似「已獲認證的發送人」名稱冒充身分發送的非「#」短訊,進一步保障市民的利益。通訊辦網站已提供「短訊發送人登記冊」供市民查閱認證公司,並將繼續聯絡更多機構參與登記制。
今年二月中旬,有市民查詢以「#」號開頭的懷疑詐騙短訊,警方及通訊辦高度關注。警方共接獲31宗相關舉報,當中有兩宗涉及損失,涉及金額共約三萬元。警方其後拘捕一名男子,檢獲未領有牌照的無線電設備,並聯同通訊辦進行新聞簡報,向公眾講解如何防範有關騙案。有關事件只屬個別情況,而有關設備只能干擾有限範圍內的手機,並不影響登記制的整體實施成效。通訊辦已要求各電訊商加強監察網絡異常訊號,並設立通報機制,一旦發現再有類似的情況,通訊辦會迅速與警方採取跟進行動。
針對這些非法行為,警方會繼續以多管齊下的方式,從科技防範及加強執法,全方位打擊詐騙行為。科技防範方面,警方透過跨部門合作加強攔截可疑交易與詐騙電話,並升級防騙應用程式以提供即時警示;執法方面,警方嚴查洗黑錢及傀儡戶口,同時與海外執法機構合作打擊跨境詐騙集團。
除了採取果斷執法行動,政府透過多渠道宣傳策略加強市民對騙案的警覺性。警方會繼續與通訊辦及業界合作,加強宣傳教育,提升市民的防騙意識。通訊辦會與電訊商加強監察網路訊號有否出現異常,以及時作出應對措施。
具體而言,通訊辦於二○二五年一月推出《防電騙地區大使計劃》,獲全港18區超過150個區議員辦事處支持,超過300位區議員及辦事處人員參與,推動地區防電騙宣傳。通訊辦會繼續在社區加強宣傳及公眾教育,透過發出新聞稿、在電視台播放宣傳短片及在電台播放宣傳聲帶、發放社交媒體貼文、製作及派發宣傳單張和海報,及舉辦更多不同的社區活動,以更全面向市民傳遞防電騙信息。由二○二三年至今,通訊辦與立法會議員及區議員進行了合共21場路演,亦舉行了182場公眾教育及宣傳活動。
針對「釣魚騙案」猖獗,警方已加強宣傳,透過互聯網平台,包括警隊電子平台、「守網者」網站,及傳統媒體向市民介紹常見及新興的騙案手法。警方提醒市民,收到來歷不明或懷疑釣魚短訊時,切勿點擊短訊內連結。市民應直接聯絡相關機構確認,或者使用「防騙視伏器」或「防騙視伏App」進行風險評估及事實查證。如果需要幫助,可以致電18222防騙易熱線。
完
2025年5月7日(星期三)
香港時間12時20分
香港時間12時20分