什麼是網絡釣魚?完整入門指南

網絡釣魚是香港最常見的網絡威脅——每年造成數十億元詐騙損失。了解它是什麼及其運作原理是您的第一道防線。

Learn how to spot phishing emails → Guide to Phishing & Scam Awareness
What is phishing attack illustration
1定義

什麼是網絡釣魚?清晰定義

網絡釣魚是一種網絡攻擊,犯罪分子仿冒可信實體——銀行、政府機構、僱主、送遞服務或親友——欺騙受害者透露敏感資料、轉帳匯款或安裝惡意軟件。此術語源自「以餌釣魚」的比喻:攻擊者向大量潛在受害者發送欺騙性信息,等待足夠多的人上鉤,使行動獲利。

網絡釣魚攻擊透過多種渠道投遞:電郵(最傳統且仍最常見)、短訊(smishing)、電話(vishing)、社交媒體信息、二維碼,以及越來越多透過WhatsApp等通訊應用程式——這在香港尤為相關,因為WhatsApp幾乎被普遍使用。每種渠道都有其特性和典型攻擊模式,但都共享仿冒和欺騙 ↗的基本機制。

儘管數十年來持續推行安全意識活動,網絡釣魚仍是數據外洩 ↗事件中最成功的初始攻擊途徑。原因很簡單:它針對的是人類心理而非技術漏洞。恐懼(被捕威脅、帳戶暫停、財務損失)、緊迫感(需即時採取行動)、權威感(來自行政總裁、政府、警察的信息)和貪婪(意外獎賞、投資機會)等情緒,會壓過審慎思考,驅使受害者在審視信息合法性前便採取行動。

  • 核心機制:仿冒可信實體欺騙受害者採取有害行動
  • 投遞渠道:電郵、短訊、電話、社交媒體、通訊應用程式、二維碼——多種途徑
  • 針對心理:利用恐懼、緊迫感、權威感和貪婪,而非技術弱點
  • 仍是最有效:儘管有意識活動,網絡釣魚仍引發大多數成功外洩事件
  • 高效擴展:大規模釣魚行動成本低廉,卻可觸及數以百萬計的潛在受害者
  • 香港普遍性:每年數以萬計的釣魚投訴向警方報案——嚴重且日益增長的本地威脅
學習識別釣魚嘗試 →
Phishing definition and mechanism illustrated
2網絡釣魚類型

主要網絡釣魚攻擊類型

電郵釣魚是最常見的形式,也是該類別得名的由來。攻擊者大量發送仿冒可信機構——銀行、速遞服務、串流平台、政府部門——的電郵,當中包含指向欺詐網站的連結或惡意附件。大規模釣魚電郵同時發送至數以百萬計的地址;即使成功率極低,在如此龐大的數量下仍可造就數以千計的受害者。

魚叉式網絡釣魚 ↗是針對性版本:攻擊者研究特定個人,製作引用其姓名、僱主、同事、近期活動或其他個人資料的個人化信息,使攻擊更具說服力。魚叉式釣魚電郵可能引用您的公司名稱、上司姓名或近期商業交易來建立可信度。這類攻擊的成功率遠高於一般大規模釣魚,通常針對高價值目標——高管、IT管理員、財務主管。

短訊釣魚(smishing)近年在香港急劇增加,攻擊者發送仿冒銀行(匯豐、恒生、中國銀行)、八達通、港鐵、政府部門及包裹速遞服務的信息。語音釣魚(vishing)涉及自稱政府官員、銀行詐騙部門或IT支援的來電。WhatsApp釣魚在香港日益普遍,騙徒 ↗仿冒帳戶已被入侵或號碼被偽造的朋友、家人及僱主。

  • 電郵釣魚:大量仿冒可信機構的電郵——仍是最常見的投遞機制
  • 魚叉式釣魚:利用研究所得個人資料的針對性個人化攻擊——成功率更高
  • Smishing:短訊釣魚——在香港日益盛行,包含假冒八達通、銀行及政府的信息
  • Vishing:電話釣魚——假冒政府官員、銀行詐騙部門及IT支援
  • WhatsApp釣魚:香港特有威脅——透過被入侵或偽造帳戶仿冒聯絡人
  • 二維碼釣魚:實體場所中的惡意二維碼——在香港餐廳及零售點的新興威脅
香港短訊釣魚與smishing →
Types of phishing attacks email SMS WhatsApp
3攻擊運作方式

網絡釣魚攻擊的逐步運作方式

了解網絡釣魚攻擊的機制,有助揭開人們被欺騙的謎團,並揭示可阻止攻擊的干預點。典型的電郵釣魚攻擊從選擇目標開始:向收集所得的電郵地址大量發送(用於大規模行動),或對特定目標進行偵察(用於魚叉式釣魚)。攻擊者使用數據中介、社交媒體、LinkedIn及外洩數據庫收集姓名、職銜、僱主和電郵地址。

釣魚電郵被精心製作以看似合法:複製被仿冒機構的視覺設計、標誌和語言。發件人地址被偽造或使用與正規地址相似的域名(HSBC-secure.com對比hsbc.com;hsbcbank.hk對比hsbc.com.hk)。信息製造緊迫感——您的帳戶將被暫停、付款到期、偵測到可疑活動、您贏得了獎品。信息引導收件人點擊連結或開啟附件。

釣魚連結將受害者帶至仿冒合法網站外觀的欺詐網站。URL可能使用域名仿冒(homg.hk對比hkma.gov.hk)、子域名技巧(hsbc.com.phishing-site.com)或短網址來掩蓋真實目的地。受害者輸入憑據,這些憑據被攻擊者截取,用於立即使用或出售。一些釣魚網站也會在訪問期間悄然投遞惡意軟件,甚至無需用戶點擊連結以外的任何互動。

  • 目標選擇:電郵收集或特定目標研究——兩種方式成本均低廉且可擴展
  • 電郵製作:視覺仿冒可信品牌、偽造發件人地址、緊迫感觸發器
  • 域名欺騙:利用域名仿冒、子域名或URL技巧欺騙URL檢查的仿真域名
  • 假冒網站:合法網站的像素級仿冒品——現代釣魚工具包可自動完成整個網站創建
  • 憑據截取:登入表單將憑據提交至攻擊者控制的服務器,而非合法服務
  • 惡意軟件投遞:許多釣魚網站也悄然以次要載荷投遞惡意軟件
如何偵測偽造的電郵發件人 →
How a phishing attack works step by step
4Your Defences

Building Your Defences Against Phishing Attacks

Effective phishing defence combines human awareness with technical tools. The awareness component means developing habits: scrutinising sender addresses on important emails, hovering over links to preview the actual destination URL before clicking, treating unexpected requests for credentials or financial information with scepticism regardless of how official they appear, and verifying unexpected requests through an independent channel (call back on a known-good number rather than a number provided in the suspicious message).

Technical defences include enabling two-factor authentication on all accounts — so that even if credentials are phished, the attacker cannot access the account without the second factor; using a password manager whose auto-fill will only activate on the legitimate domain (preventing credential entry on lookalike sites); keeping software and browser up to date for the latest phishing site blocking lists; and enabling anti-phishing features in your email client or using a security-focused email service that filters phishing before delivery.

If you receive a suspicious message, do not click any links or download attachments. Verify the request through an official, independently obtained contact method — call your bank on the number on the back of your card, or check government communications through the official website you navigate to directly rather than through any link in the message. Report suspicious emails to your email provider and to HKCERT. Reporting helps protect others by getting phishing infrastructure taken down faster.

  • Verify senders: Check email addresses carefully — attackers use domains that differ by one character from legitimate ones
  • Preview links: Hover over links before clicking — the actual URL is often very different from the displayed text
  • Independent verification: Call on a known-good number — never use contact details provided in a suspicious message
  • Enable 2FA: Phished credentials cannot access accounts protected by TOTP or hardware key 2FA
  • Use a password manager: Auto-fill only activates on legitimate domains — protects against lookalike phishing sites
  • Report suspicious messages: hkcert.org/report and email provider's spam/phishing reporting — protects the whole community
Best anti-phishing tools for Hong Kong users →
Protection against phishing attacks in Hong Kong

準備好識別和避免網絡釣魚攻擊了嗎?

了解網絡釣魚是什麼為您奠定基礎——學習每種攻擊類型中需要注意的具體警示標誌。

如何識別釣魚電郵 → 網絡釣魚及詐騙意識指南

Related VPN Articles

What Is a VPN?

The complete beginners guide to VPN technology.

How Does a VPN Work?

Encryption, IP masking and data tunnelling explained.

VPN Protocols Explained

OpenVPN, WireGuard, IKEv2 - which should you use?

Best VPNs for Hong Kong

Top-rated VPNs tested for HK users.

VPN for Streaming

Unblock Netflix, Disney+ and more from Hong Kong.

VPN on Public WiFi

Why public hotspots are dangerous and how VPN helps.

VPN for Remote Work

Secure your home office connections.

VPN vs Proxy

Key differences and which one suits you.

20 VPN Myths Debunked

Common VPN misconceptions corrected.