前言

近月「冒認政府部門」的網絡釣魚電郵再度活躍，不少企業職員每日處理大量來往郵件，稍一不慎或會「中招」。面對看似正規、實則偽冒的來信，如何在繁忙中快速辨識？房屋署最新通報，正為市民及中小企敲響警鐘。

事件概況｜假冒房屋署郵箱　索取財務資料

房屋署9月27日表示，署方接獲一間公司通報，懷疑有人偽冒房屋署職員，以「heplan_no_reply@housingauthority.gov.hk」名義發出電郵，要求收件人提交公司財務資料，郵件內更夾附可疑超連結及附件。
署方強調，有關電郵並非由房屋署發出，事件已轉介警方跟進；同時呼籲公眾切勿回覆、切勿點擊、切勿下載，避免資料外洩或中惡意程式。

為何易中伏｜三大常見偽裝手法

相似地址迷惑收件人

騙徒或以看似官方的地址作包裝，甚至利用名稱別名顯示掩飾真實域名。

以「急切合規」為名

常聲稱「帳目核對」「審計需要」或「合約續期」，逼使收件人倉促回覆。

夾帶惡意檔案

以發票、表格、壓縮檔包裝，實為木馬或釣魚網站入口，一旦點擊即洩密。

立即自保｜企業與個人實用清單

收件三步核實

1）看域名：將游標移至寄件者，核對實際電郵域名；
2）驗內容：如索要財務／身分／登入資料，一律停手求證；
3）打回官方：不要用郵件內電話或連結，改用官網或既有聯絡資料查證。

技術與流程雙管齊下

— 啟用郵件安全：SPF／DKIM／DMARC、沙箱掃描及附件隔離；
— 權限分級：財務與帳戶操作需雙重批准；
— 教育演練：定期模擬釣魚測試，提高團隊敏感度；
— 資料最小化：非必要不傳，必要時用加密渠道與到期銷毀機制。

參考連結
— 私隱專員公署（個人資料保障及防騙資源）：https://www.pcpd.org.hk
— 香港警務處「防騙視伏器」（查驗可疑連結／賬戶）：https://www.scameter.hk

若已點擊或回覆｜補救步驟

1）即時斷網與換機掃毒：暫停可疑裝置上網，使用可信掃描工具；
2）盡快改密碼與啟用多重認證：涵蓋電郵、財務及雲端服務；
3）通知IT／供應商／銀行：啟動風險通報與交易監察；
4）保留證據：包括郵件原始檔頭（header）、附件與連結；
5）報警及通報：向警方求助，同時按內部事故通報流程跟進。

為何此類「冒認政府部門詐騙」高發

在電子政務與無紙化趨勢下，企業習慣以電郵處理投標、帳務與審計文件；騙徒鎖定「財務、人事、採購」等關鍵部門，以高相似度模板套路行騙。對於中小企而言，建立簡明的核實流程與角色分工，往往比昂貴設備更見成效。

灣聲評說

作為專業新聞評說家「灣聲」，我們認為，是次假冒「heplan_no_reply@housingauthority.gov.hk」一案，再次映證人、流程、技術缺一不可：公部門迅速澄清並轉交警方，屬必要且正確；但民間與企業亦應把「電郵安全最佳做法」制度化。香港要建設智慧城市，越便利就越要有韌性——把釣魚演練寫入KPI，把雙重認證變成默認，把資料最小化當作文化。當每一位員工都懂得「先驗證、後操作」，騙案就少一分生存空間。