立法会七题:打击「网络钓鱼」
**************
问题:
香港网络安全事故协调中心于去年共处理12 536宗保安事故,其中「网络钓鱼」占整体个案超过一半,对比二○二三年上升108%。此外,于本年一月至二月期间,香港金融管理局(金管局)的网站登载逾50次与银行有关的网络钓鱼即时信息及欺诈网站的新闻稿。就打击网络钓鱼,政府可否告知本会:
(一)过去五年,每年涉及网络钓鱼的诈骗个案宗数及损失的金额分别为何,并按行业列出分项数字;
(二)自「防骗视伏器」推出至今,在公众举报平台上接获市民举报的钓鱼网站中,实际被警方列入诈骗资料库的比例为何;有否就被举报的钓鱼网站制订即时下架机制;如有,下架该等网站的平均所需时间为何;
(三)鉴于据报,由于发送一次性手机短讯验证码(OTP)的短信容易遭黑客拦截,金管局已要求银行于去年底前,落实要求客户使用其手机内的银行应用程式认证网上信用卡交易的措施,取代使用短讯发出OTP作验证,金管局会否制订逐步淘汰OTP作验证的具体时间表;如会,详情为何;如否,原因为何;及
(四)鉴于通讯事务管理局办公室推出「短讯发送人登记制」,让已登记成为「已获认证的发送人」的公司或机构使用以「#」号开头的短讯,协助市民识别短讯真伪,然而,据报有骗徒使用伪基站的非法无线电装置绕过现有机制,冒认官方或金融机构发出诈骗短讯,当局会否研究制订措施应对上述情况,同时加强宣传,提高市民防骗意识;如会,详情为何;如否,原因为何?
答覆:
主席:
诈骗是严重罪行。不论是透过什么方式进行,只要涉及违法行为,我们都会严厉打击。问题中提及的「钓鱼骗案」,一般是指不法分子透过发放短讯、电邮、语音、二维码等作饵,以渔翁撒网方式发放,伪装为银行、电讯商、甚至政府部门等机构,声称收讯人的帐户有异常、需要核实帐户等,要求收讯人点击内含的连结进入假网站,留下帐户登入凭证、信用卡资料、个人资料等,藉资料再刷卡消费或转走帐户积分。警方连同政府不同部门一直全力打击包括钓鱼骗案在内的各类型的诈骗案,采取情报主导的执法行动,并透过公众教育及不同的宣传,提高市民对此类罪案的警觉性。
就议员的提问,经谘询财经事务及库务局及商务及经济发展局后,回覆如下:
(一)警方自二○二三年起开始就「钓鱼骗案」的案件数字作分类统计。二○二三年及二○二四年分别接获4 322宗及2 731宗「钓鱼骗案」的举报,涉及损失金额分别为1亿240万元及5,350万元。二○二五年首两个月,警方共接获242宗的相关举报,较去年同期减少347宗,下跌58.9%。涉及损失金额共490万元,下跌54.2%。
警方没有就「钓鱼骗案」中所涉及的行业作分项统计。
(二)「防骗视伏器」自二○二二年九月推出以来,截至二○二五年二月,共录得超过760万次搜寻,预警约95万次诈骗及网络安全风险,市民也透过「防骗视伏器」内的公众举报平台举报超过35.5万个可疑來电及超过3.8万个可疑网站,成效显著。
警方于二○二三年二月推出手机应用程式版本「防骗视伏App」,协助市民分辨可疑网上平台帐户、收款帐户、电话号码、电邮地址及网址等,并提供防骗提示。现时「防骗视伏App」已经升级至备有自动侦测功能,应用程式内可疑来电警示及可疑网站侦测的功能会自动辨识诈骗来电和诈骗网站,如发现潜在诈骗或网络安全风险,会即时发出通知,提醒用户不要接听或浏览。「防骗视伏App」同时也设有上文提及的公众举报平台让市民举报诈骗陷阱,进一步丰富资料库的内容。
警方每天更新「防骗视伏器」的资料库,亦会持续检视及提升「防骗视伏器」的功能,并积极强化其他防骗措施。「防骗视伏器」的资料库涵盖市民举报及警方从其他渠道,包括刑事调查及情报搜集及分析后所得的资料。我们并未就市民举报的钓鱼网站实际被警方列入诈骗资料库的比例作统计。
此外,在通讯事务管理局办公室(通讯办)的协调下,警方及主要电讯商已建立机制,电讯商会根据警方提供的诈骗纪录尽快拦截涉嫌进行诈骗的电话号码及可疑网页连结。截至二○二五年二月底,按警方要求,电讯商成功拦截约40 000个涉及诈骗案的网页连结及封锁超过8 600个涉嫌进行诈骗的电话号码。通讯办并没有备存电讯商相关行动的平均所需时间纪录。
(三)香港金融管理局(金管局)一直密切留意网上骗案趋势,并积极推动银行实施有效的反诈骗措施。发卡银行由去年底开始已经陆续遵照金管局的指引,向客户提供更安全的认证方法,客户可透过银行流动应用程式(App)而非经短讯(SMS)发出的一次性密码(OTP)认证网上支付卡交易。据银行统计数字,相关诈骗率下降了近80%。
因应最新的网上骗案手法,金管局于今年四月宣布三项新措施,简称「网银安全ABC」,要求银行加强网上银行安全,以进一步提升客户的防骗能力。
第一,银行须于今年第四季或之前推出一项名为(A)「APP内认证」的新措施。客户日后登入网上银行和进行高风险交易时(例如新增收款人、提高转帐限额、更改接收银行信息的电话号码、绑定网上银行户口到流动装置等),须透过银行的手机App进行认证,而不再使用SMS OTP。而在今年第三季开始,客户绑定或重新绑定其流动装置时,须通过人脸识别技术或相若严谨的身分验证方法(例如亲身到分行)进行认证,取代现时透过提供SMS OTP作为双重认证。若客户坚持使用SMS OTP认证交易或绑定其流动装置,银行则须根据金管局要求,就有关交易或绑定要求实施有效的风险管理措施,例如加强监察有关交易和延迟执行较高风险的交易。上述措施将有助逐步取代SMS OTP进行认证。
另外,银行亦须于今年第二季推出其余两项新措施,即(B)「Bye bye高危功能」和(C)「Cancel可疑转帐」。前者将允许客户选择停用提高转帐限额及新增收款人这些网上银行功能,以更配合客户的个人需要并加强风险管理。后者则进一步提升「可疑帐号警示」机制的效能,让巿民有充足时间查阅警示内容。
上述的「网银安全ABC」三项新措施将共同为银行客户构建更全面的防骗保障。
(四)「短讯发送人登记制」(登记制)自二○二三年十二月二十八日起实施,并于二○二四年二月全面开放予各行业加入。截至二○二五年三月底,已有超过495个公私营机构(包括入境事务处、卫生署、警方、消费者委员会等)参与登记制。在登记制下,只有已登记成为「已获认证的发送人」的公司或机构,才可使用其以「#」号开头的「已登记的短讯发送人名称」发出短讯。电讯商会拦截由非已获认证的发送人透过互联网发出的伪冒短讯。此外,为加强登记制的实施成效,通讯办亦会在获得「已获认证的发送人」同意后,要求电讯商禁止怀疑以类似「已获认证的发送人」名称冒充身分发送的非「#」短讯,进一步保障市民的利益。通讯办网站已提供「短讯发送人登记册」供市民查阅认证公司,并将继续联络更多机构参与登记制。
今年二月中旬,有市民查询以「#」号开头的怀疑诈骗短讯,警方及通讯办高度关注。警方共接获31宗相关举报,当中有两宗涉及损失,涉及金额共约三万元。警方其后拘捕一名男子,检获未领有牌照的无线电设备,并联同通讯办进行新闻简报,向公众讲解如何防范有关骗案。有关事件只属个别情况,而有关设备只能干扰有限范围内的手机,并不影响登记制的整体实施成效。通讯办已要求各电讯商加强监察网络异常讯号,并设立通报机制,一旦发现再有类似的情况,通讯办会迅速与警方采取跟进行动。
针对这些非法行为,警方会继续以多管齐下的方式,从科技防范及加强执法,全方位打击诈骗行为。科技防范方面,警方透过跨部门合作加强拦截可疑交易与诈骗电话,并升级防骗应用程式以提供即时警示;执法方面,警方严查洗黑钱及傀儡户口,同时与海外执法机构合作打击跨境诈骗集团。
除了采取果断执法行动,政府透过多渠道宣传策略加强市民对骗案的警觉性。警方会继续与通讯办及业界合作,加强宣传教育,提升市民的防骗意识。通讯办会与电讯商加强监察网路讯号有否出现异常,以及时作出应对措施。
具体而言,通讯办于二○二五年一月推出《防电骗地区大使计划》,获全港18区超过150个区议员办事处支持,超过300位区议员及办事处人员参与,推动地区防电骗宣传。通讯办会继续在社区加强宣传及公众教育,透过发出新闻稿、在电视台播放宣传短片及在电台播放宣传声带、发放社交媒体贴文、制作及派发宣传单张和海报,及举办更多不同的社区活动,以更全面向市民传递防电骗信息。由二○二三年至今,通讯办与立法会议员及区议员进行了合共21场路演,亦举行了182场公众教育及宣传活动。
针对「钓鱼骗案」猖獗,警方已加强宣传,透过互聯网平台,包括警队电子平台、「守网者」网站,及传统媒体向市民介绍常見及新兴的骗案手法。警方提醒市民,收到来历不明或怀疑钓鱼短讯时,切勿点击短讯内连结。市民应直接联络相关机构确认,或者使用「防骗视伏器」或「防骗视伏App」进行风险评估及事实查证。如果需要帮助,可以致电18222防骗易热线。
完
2025年5月7日(星期三)
香港时间12时20分
香港时间12时20分