香港特別行政區政府 ─ 香港警務處

商業電郵騙案|如何避開商業電郵騙案?5大常見作案手法大公開

電話騙案手法示意圖
發布時間:

趨勢

​在數碼時代,不法分子善用互聯網與電子通訊工具,以詐騙手段盜取個人或企業資金與資訊。其中,「商業電郵騙案」(Commercial Email Compromise, BEC)因其隱蔽、專業、針對性強,往往對企業或個人造成重大損失。香港警方及反詐騙機構提醒市民與企業提高警覺,了解詐騙模式與風險,並採取適當防護措施。騙徒不斷演變手法——從偽造電郵地址、入侵電郵系統、利用心理操控,到誘導匯款或盜取敏感資料 —— 若未設防範、未保持警覺,傷害可能非常慘重。

什麼是商業電郵騙案

所謂「商業電郵騙案」,是指騙徒利用假冒或入侵電郵系統,以偽造/冒充真實公司高層、商業夥伴、供應商等身份,向目標企業或個人發送偽造電郵,誘導對方按其指示進行匯款、轉賬或提供敏感資料 (例如銀行賬戶、身份證號碼、登入密碼等) 的詐騙行為。

這類騙案的關鍵在於:騙徒以「合法商業往來」的外衣包裝詐騙指令,使受害人誤以為是可信賴的商業合作、付款要求或公司內部指示。由於電郵系統的身份驗證機制可能被偽造或繞過,騙徒容易偽裝成真實夥伴。

警方案例與例子

  • 香港警方曾公開指出,一些不法分子會假冒受害企業之「上司/高層」或「供應商/客戶」,透過電郵向會計或負責付款的人員,發出「請將款項轉到新銀行賬戶以作稅務/銀行調整」等要求。公司員工若未有進一步核實,即照辦匯款,最終款項被騙徒盜取。

  • 有些詐騙郵件會偽造域名或使用極為相似的電郵地址(例如將字母稍作變形),讓收件人誤以為是合法公司發出。該類偽冒信件要求對方下載附件、點擊連結或回覆銀行資料/身份資料,結果導致公司機密與資金外洩。這種手法在「釣魚郵件/魚叉式攻擊」(phishing / spear-phishing) 中非常常見。

  • 根據警方統計,在其所屬網罪偵查行動中,曾在一年內處理過數百宗商業電郵詐騙案件。僅 2020 年一年,警方接獲的商業電郵騙案案件數目就相當高,累計損失金額以億港元計算。

5大常見作案手法

詐騙者為提高成功率,會採用多種技術與心理操控手段,包括但不限於:

  • 假冒發件者 / 偽造電郵地址/域名:騙徒建立與真實公司域名極為相似的電郵地址/域名(例如只改變一個字母),發送偽裝成公司內部或合作夥伴的信件,使收件人難以察覺。

  • 入侵企業或合作伙伴電郵系統:透過駭客技術入侵受害公司或其供應商/客戶的電郵系統,窺探真實電郵往來內容,然後假冒「高層/負責人」發出匯款指示,權威感及真實背景讓人難以懷疑。

  • 魚叉式釣魚 (Spear-phishing):針對特定公司、特定職位 (如會計、財務) 發送精心設計的電郵,內容極具說服力 (例如「緊急付款」、「供應商資料變更」、「稅務/銀行賬戶更新」等),誘使收件人匆忙匯款。

  • 附加惡意鏈結或附件:詐騙電郵可能包含看似正常的發票、訂單、發貨通知等附件或連結,一旦點擊,就可能下載惡意軟件、鍵盤記錄器 (keylogger)、竊取公司內部憑證,或跳轉至偽造登入頁面,盜取賬戶密碼。

  • 製造緊迫感/權威壓力:常見手法包括聲稱「此銀行賬戶將於今日停止使用」、「此單急需支付否則供應鏈會中斷」、「總經理要求立即支付」等,以造成收件人心理壓力,減少其核實時間。

透過這些複合手法,詐騙者能大幅提高成功率,即使是資深員工也可能中招。

如何防範商業電郵騙案?

面對日益複雜的商業電郵詐騙,企業與個人均應採取以下防範措施,以降低風險:

1. 核實電郵真偽

  • 收到任何要求付款/改變銀行賬戶/提供敏感資料的電郵,應先通過其他通訊方式 (例如致電或親自與對方確認) 核實,而非直接回覆電郵或依電郵提供的電話/連結聯絡。

  • 注意電郵域名 (domain) 是否正確。偽造域名往往僅差一兩個字母或使用非標準字元。

2. 建立內部控制程序

  • 公司應建立「雙重授權/付款核實制度」:即使電郵看似來自高層或供應商,也需要另一位高級員工或財務主管電話/面對面確認,才可處理款項。

  • 對銀行賬戶資訊變更要求格外警惕 — 若供應商聲稱更換付款賬戶,必須先聯絡對方已知舊有聯絡方式確認。

3. 強化電郵安全防護

  • 企業應實施技術防禦措施,例如使用郵件身份驗證機制 (SPF / DKIM / DMARC),過濾垃圾郵件與可疑郵件。

  • 啟用多重認證 (2FA) /身分驗證機制 (例如對重要發票/付款要求設置密碼/電話確認);保持郵件伺服器與電腦系統之安全更新、安裝防毒軟件。

4. 提高員工 / 員工的警覺與教育訓練

  • 定期進行資安教育與防詐騙培訓,讓員工了解釣魚郵件/商業電郵詐騙典型手法與警示訊號 (如語氣急促、要求匯款、賬戶變更等)。

  • 建議成立內部報告機制 — 若發現可疑電郵,應立即向 IT 或管理層報告,不自行操作。

5. 保存通訊與交易紀錄

  • 對重要電郵、轉賬指示、發票、附件、銀行往來紀錄、通訊紀錄 (電郵、電話) 等保持良好備份,方便日後追查。

這些案例顯示,無論是大型企業、中小企業、甚至個人承包商、自由職業者,都可能成為商業電郵騙案的目標。一旦未有嚴格核實,就可能損失慘重。

如何處理商業電郵騙案? (若懷疑已受騙)

若懷疑公司或個人已成為商業電郵詐騙受害人,應立即採取以下步驟:

1. 停止進一步回覆/付款/點擊 — 切勿再按照該可疑電郵指示操作。

2. 記錄與保存所有可疑證據 — 包括該電郵 (header、寄件者地址、標題、內容)、附件、任何回覆、銀行轉賬記錄、通訊紀錄 (電話、WhatsApp, etc.) 等。

3. 通知銀行 / 相關金融機構 — 若款項已轉出,立即聯絡銀行,說明可能遭詐騙,請求協助掛失或追查。

4. 向警方報案 — 可向反詐騙協調中心 (ADCC) 報案,或親至警署舉報。ADCC 為香港警方專責協調詐騙案件的機構。

5. 提醒公司相關部門 / 同事 — 若為公司案件,應即時通知所有相關人員,提高警覺,防止進一步損失。

6. 檢查並強化公司安全防線 — 包括更換密碼、檢查系統安全、審查是否有其他賬戶被盜用,同時檢討內部付款流程、加強核實機制。

此外,若該騙案涉及跨境轉賬或海外賬戶,警方可能與國際刑警組織合作追查資金流向。香港警方曾以此方式堵截部分跨境騙款。

若懷疑遭遇商業電郵詐騙,請立即保存證據、停止一切付款、聯絡銀行、並向警方報案 (例如透過反詐騙協調中心 ADCC)。唯有警民合作、提高防範意識,才能有效遏止這類危害企業與個人財產安全的詐騙行為。讓我們共同守護香港企業與市民的財產安全,不給不法分子可乘之機。

常見問題 FAQ

Q: 商業電郵騙案與一般「釣魚郵件」有什麼不同?

A: 商業電郵騙案 (BEC) 通常針對企業/公司賬戶、供應商付款、公司內部匯款等,冒充真實商業伙伴、公司高層或供應商,要求大額提款或款項轉賬;而一般釣魚郵件 (phishing) 多為盜取登入資料或信用卡資料,屬較單純的身份、憑證竊取。換言之,BEC 更具組織性、針對性,目標更為具價值。

Q: 即使電郵看起來很正式、內容完整,也可能是詐騙?

A: 是的。不法分子可能偽造非常真實的電郵格式,甚至複製真實公司往來內容、模仿語氣與簽名。若沒有透過其他渠道 (例如電話、親自聯繫) 核實,就可能中招。這也是為何建議不單靠電郵本身判斷,而需要額外核實流程。

Q: 公司規模小/沒有 IT 部門,也能防範這類騙案嗎?

A: 可以。即使是個體戶、小企業,也可採取基本防範措施,例如:匯款前電話/面談確認、設定「雙人核實付款」程序、不輕信電郵中要求更改賬戶、保存所有交易紀錄。良好內部制度與警覺性往往比技術防護更重要。

Q: 若我公司/我懷疑被騙了,應如何向警方舉報?

A: 請保存所有相關證據 (電郵、附件、銀行轉賬記錄、通訊紀錄、對方資料等),然後透過 反詐騙協調中心 (ADCC) 或最近警署報案。ADCC 為警方專責協調詐騙案件的機構,可提供即時諮詢及支援。