「釣魚」騙案肆虐　警方揭騙徒用AI三大進化：低成本個性化高仿真

（香港文匯報記者 曾立本）水能載舟，亦能覆舟。隨着人工智能（AI）興起，不法之徒的騙局也變得更高智能。香港去年整體科技罪案宗數按年下跌約6.9%，但損失金額卻上升23.2%，其中滲透市民日常生活的「釣魚」騙案數字，跌幅約六成，惟損失金額增加逾一倍，反映網絡罪案「貴精不貴多」，正向高度針對性、高度破壞力方向發展。警方分析發現，「釣魚」攻擊向三方面進化，包括騙徒以低成本網購「釣魚套件」配合自動化工具，大規模生成和發布海量詐騙短訊；針對受害人「量身訂造」個性化行騙「劇本」；最後是利用人工智能「深偽技術」增強仿真度，更精準、更逼真行騙，令機構員工或市民防不勝防。去年就有一名會計員中招，令公司損失1,900萬元。 

去年11月，一間公司會計職員收到一條WhatsApp短訊，騙徒假冒WhatsApp管理員聲稱系統更新，要求提供賬戶驗證信息。事主按照指示輸入密碼，變相交出訪問權限，令騙徒洞悉賬戶所有對話，並冒充公司合作夥伴，用新手機號碼向事主發送訊息，訛稱收款賬戶已更改，並提供3個新的銀行賬戶，事主未經核實，分4次轉出合共1,900萬元。

每4宗網絡威脅有1宗涉「釣魚」

警方網絡安全及科技罪案調查科署理高級警司許綺惠日前接受訪問時分析「釣魚」騙案最新趨勢，她指「釣魚」攻擊趨向更精準、更逼真、更難識別的方向發展。從香港整體網絡威脅形勢分析，去年針對香港的網絡威脅情報超過150萬宗，當中「釣魚」攻擊佔約27%，即平均每4宗威脅就有1宗涉及「釣魚」。

香港「釣魚」騙案報案從前年的2,731宗，下跌至去年的1,093宗，但損失金額則由前年約5,000萬元，上升至去年的1.1億元。騙徒會設計「釣魚」連結引導受害人在假網站輸入證券戶口、網上銀行或信用卡登入資料以盜取更多款項，市民一旦登入「釣魚」連結便會「輸身家」。

暗網有販售多樣化「網釣套件」

警方觀察到「釣魚」攻擊已經全面進化，主要集中在三方面：第一，規模化和自動化工具全面滲透。騙徒很容易從不同渠道獲取「釣魚工具」服務，降低技術門檻，令犯罪工具完全平台化，騙徒只需網購工具即可進行大規模發動攻擊，再配合自動化工具，可以全天候大規模生成詐騙內容，再經由短訊（SMS）、社交媒體或語音通話等多個渠道滲透。

據資料顯示，有一種「網絡釣魚即服務」平台，是黑客在暗網販售多樣化網釣套件與範本，提供一次性買斷或訂閱服務，騙徒能以低成本獲取技術，令近年來釣魚攻擊愈發頻繁及具威脅性。

蒐個人訊息量身訂造「釣魚訊息」

第二是個人化包裝，現時愈來愈多人在社交媒體分享個人生活，令騙徒容易收集受害人背景而「量身訂造」「釣魚」訊息，令行騙內容更具說服力，騙取受害人的信任，精準偽裝不同政府機構、企業、機構等，騙取賬號密碼或者信用卡資料。

用「深偽」工具模擬同事親友

第三是人工智能「深偽技術」，騙徒很容易在網上獲取「深偽」工具，製作仿冒圖片、聲音、畫面等，做到高仿真度模擬上司、同事，甚至是業務夥伴的聲音和樣貌直接誘騙。這些詐騙訊息透過AI驅動，在語氣和邏輯上，憑肉眼難分辨真假，令市民防不勝防。

因為市民幾乎把所有的通訊和交易都集中在手機進行，短訊是最快最容易接觸用戶的渠道。去年「釣魚」騙案中「釣魚」短訊佔超過九成，「釣魚」電郵佔約2.6%，透過WhatsApp、Telegram、Messengers以及其他即時通訊軟件發放「釣魚」短訊佔6.5%。而用「釣魚」電郵或短訊行騙的手法都一樣，不過「釣魚」電郵往往涉及金額相對較大，因此市民對兩者都不能掉以輕心。

警方提醒市民，AI時代的騙案，已不再是騙徒「識唔識做」，而是可以做得「多快和多真」，市民一刻放鬆警惕，隨時被「釣爾輕心」損失金錢。