前言

近月企業及機構頻頻遭「魚叉式網絡釣魚」鎖定，假冒政府或大型機構的「no-reply」地址更具迷惑性。一旦員工誤填表或開啟附件，輕則外洩商業機密，重則引致財務損失、系統被植入惡意程式。面對層出不窮的騙局，港人與中小企最關心：如何一眼識破？遇到疑似官方電郵，該走甚麼核實流程？

事件概要｜冒認房屋署來信　索取公司財務資料

房屋署表示，近日接獲企業通報，指收到來自「heplan_no_reply@housingauthority.gov.hk」的電郵，自稱房屋署人員要求提供公司財務資料，同時附上可疑超連結及附件。房屋署澄清該郵件並非由署方發出，已轉交警方調查，並呼籲市民與機構切勿回覆、勿點擊、勿下載。

為何易中招｜假地址＋官樣口吻　提高可信度

騙徒常以「no-reply」或「*_gov.hk」等格式包裝，配合正式抬頭、項目代號及簽名檔，令收件人降低戒心；另一招是設「限時回覆」或「帳戶核實」的急切語氣，促使員工跳過核對程序。
常見跡象包括：

• 網域仿真：以相近拼寫或子網域混淆視聽（例如把字母互換、增加無關子域）。

• 可疑連結：顯示文字與實際跳轉網址不符，或導向短網址／陌生雲端盤。

• 異常附件：壓縮檔、啟用巨集的文件（.docm/.xlsm），易藏惡意程式。

• 不合常規流程：未經正式來函或合約指定渠道，要求提供敏感資料。

立即檢核｜三步自保流程（個人／企業適用）

一、停一停：勿即時回覆或開檔

把郵件標記「可疑」，暫存隔離；以另一條獨立渠道（官網電話、既有對口窗口）核實。

二、看清清：逐項核對技術細節

• 檢視寄件人完整電郵網域與數位簽章（如有）。

• 滑鼠停留於超連結，核對實際URL是否為官方域名。

• 用防毒軟件先掃描附件，必要時交IT部門沙盒分析。

三、報一報：內部通報與封鎖

• 立刻向IT/資安負責人回報，封鎖相同網域及IP。

• 對同事發出釣魚警示，防止二次擴散。

參考連結
— 私隱專員公署（電郵詐騙與個人資料保障資訊）：https://www.pcpd.org.hk
— 政府網絡安全資訊門戶（安全貼士與事件通報）：https://www.cybersecurity.hk

企業實務｜把風險降到最低的四道關

權限與流程

把「要求財務／個資」的申請納入固定流程：需兩級審批、指定人員接收、白名單網域。

工具與監測

部署電郵閘道（反釣魚、沙盒、DMARC/DKIM/SPF），並開啟多重認證（MFA）。

演練與教育

定期進行模擬釣魚測試與資安短訓，建立「先懷疑、後放行」文化。

事故處置

落實「24小時內」事件回報機制，保存郵件原檔與標頭供取證，必要時報警。

個人用戶｜三不兩要

• 三不：不填私隱、不點連結、不開附件。

• 兩要：要到官網找聯絡電話核實；要更新系統與防毒程式，定期更換強密碼。

灣聲評說

從假「no-reply」到AI擬真文案，釣魚電郵已是「治理而非一次性打擊」的長期戰。官方澄清固然重要，更關鍵在企業與市民把「資安」當作日常衛生：流程先行、工具補位、教育常態化。資訊安全的短板，往往不是技術，而是習慣。把每一封未知電郵都當作風險評估的起點，香港的數碼營商環境才算真正站穩。