2026年如何識別網絡釣魚電郵

人工智能生成的網絡釣魚電郵現已文法完美且高度個人化。「留意拼寫錯誤」的舊有建議已不再足夠。以下是仍然有效的警示訊號。

Check email headers to detect spoofing → Guide to Phishing & Scam Awareness
How to spot a phishing email red flags illustration
1寄件人分析

分析寄件人:最首要且最可靠的檢查

寄件人的電郵地址是識別網絡釣魚電郵最可靠的單一指標,但需要仔細查看,而非只看顯示名稱。攻擊者常將顯示名稱設為受信任機構的名稱,同時使用完全不同的實際地址——「匯豐安全團隊」<[email protected]> 乍看之下頗為可信,但當仔細查看實際地址時便會露出破綻。在桌面和手機的電郵客戶端中,點按或將游標懸停在寄件人名稱上,即可顯示實際發送地址。

即使攻擊者使用看似與合法域名相似的域名,仔細查看仍能發現差異。常見手法包括:拼寫仿冒(hsbc.com 對比 hsbcc.com 或 hsdc.com);使用外觀相同但實為不同字符的 Unicode 同形字;在合法域名後加字(hsbc-security.com、verify-hsbc.com);在欺詐域名上使用看似合法的子域名(hsbc.com.attacker.net——此處的權威域名是 attacker.net,而非 hsbc.com);以及使用頂級域名變體(hsbc.hk 對比 hsbc.com)。

對於聲稱來自本地香港機構的電郵,請對照官方域名核查。匯豐香港使用 @hsbc.com.hk 和 @hsbc.hk。香港政府使用 @[部門].gov.hk。合法的八達通通訊來自 @octopuscards.com。任何偏離這些官方域名的情況均應視為可疑。如有疑問,請直接前往機構的官方網站(在瀏覽器中直接輸入網址,而非點擊電郵中的連結),查看帳戶門戶中是否有任何通知。

  • 查看實際地址:點按或將游標懸停在寄件人名稱上以顯示真實地址——顯示名稱可完全被偽造
  • 域名審查:權威域名是頂級域名前最右側的部分——hsbc.com.attacker.net 的域名是 attacker.net
  • 拼寫仿冒:與合法域名只差一個字符——需要逐字符仔細檢查
  • 香港官方域名:政府使用 gov.hk;官方銀行域名格式為 @hsbc.com.hk
  • 加字手法:在真實域名後附加 -security、-verify、-alert 是常見手法
  • 獨立核實:自行瀏覽至官方網站,而非信任電郵中的任何連結
如何閱讀電郵標頭以偵測欺騙 →
Analysing email sender addresses for phishing detection
2內容警示訊號

電郵內容與連結中的警示訊號

緊迫感和威脅是網絡釣魚電郵最一貫的心理特徵。合法機構極少在電郵中威脅立即採取嚴重後果,也不會要求你在數小時內採取行動,否則帳戶將被暫停、面臨逮捕或蒙受財務損失。聲稱「您的帳戶將在24小時內被永久刪除,除非您核實您的資料」、「您正在被調查——立即採取行動以避免被捕」或「未領取包裹將被退回——立即更新送遞資料」的訊息,均在利用緊迫感阻止冷靜思考。

索取敏感資料是另一個主要警示訊號。合法的銀行、政府部門及信譽良好的服務不會通過電郵要求你提供完整密碼、PIN碼、香港身份證號碼、完整信用卡資料或雙重認證碼。沒有任何合法機構會發送連結,要求你在連結頁面上輸入現有密碼。如果電郵要求你點擊連結並在連結頁面上輸入詳細資料以確認、核實或更新憑證,無論其外觀多麼正式,均應視為高度可疑。

連結檢查至關重要。在點擊電郵中任何連結之前,先將游標懸停在連結上——在桌面上,瀏覽器狀態列會顯示實際網址;在手機上,長按連結可在預覽中看到實際網址。電郵文字中顯示的網址(連結的可見文字)可能與實際目的地網址完全不同。請在網址中查找實際域名——子域名把戲、在實際域名前加入看似合法文字的長網址,以及網址縮短器,都是用來掩蓋網絡釣魚目的地的手法。如有疑問,請勿點擊:直接瀏覽至該網站。

  • 緊迫感和威脅:「立即行動否則帳戶將被關閉」——合法機構極少通過電郵發出最後通牒
  • 索取敏感資料:沒有合法服務會通過電郵索取密碼、PIN碼或雙重認證碼
  • 將游標懸停在連結上:點擊前在狀態列查看實際網址——往往能揭示真實目的地
  • 網址縮短器:bit.ly 及類似服務會隱藏真實目的地——對縮短連結須格外謹慎
  • 通用問候語:「親愛的客戶」而非你的名字——大規模網絡釣魚通常缺乏個人化
  • 意外附件:來自意外寄件人的附件,尤其是 .exe、.zip 或含有巨集的 Office 文件
社交工程如何被用於網絡釣魚 →
Red flags in phishing email content and links
3人工智能強化的釣魚攻擊

為何人工智能令現代網絡釣魚更難識別

以拼寫錯誤和語法欠佳作為網絡釣魚指標的傳統建議,其可靠性已大幅下降。包括 ChatGPT 及其後繼產品在內的人工智能語言模型,能夠按需以任何語言生成母語水準的文字,且成本幾乎為零。網絡釣魚活動現在普遍使用人工智能生成的內容,文法完美、語境恰當,且在文體上與被冒充機構的真實通訊相似。措辭欠佳的電郵曾是可靠的警示訊號,但那個時代已基本過去。

人工智能亦能實現大規模個人化。攻擊者可將人工智能寫作與從社交媒體和數據洩露庫中抓取的數據結合起來,生成個人化的網絡釣魚電郵,其中提及你的名字、你的僱主、你最近的消費、你的銀行,甚至你的同事——這些資料過去需要大量人工研究才能收集。這消弭了大規模網絡釣魚與魚叉式網絡釣魚 ↗之間的界限,使低技術水準的攻擊者也能以極低成本發動高質量的個人化攻擊。

語音克隆技術為語音網絡釣魚攻擊增添了新的維度。人工智能語音克隆只需幾分鐘的公開音頻,便可創建對已知人士——包括行政總裁、高級管理人員和家庭成員——的逼真音頻仿冒。這些克隆聲音現在被用於語音釣魚攻擊,由假冒的上司或受信任的聯絡人打來的虛假語音電話,指示受害人授權付款或分享憑證。這類攻擊的技術門檻已大幅降低,在香港商業環境中的報告案例日益增多。

  • 語法不再可靠:人工智能可以任何語言生成完美語法——舊有的警示訊號已不再有效
  • 大規模個人化:人工智能實現大規模個人化網絡釣魚——每封電郵均可包含你的姓名和背景資料
  • 語音克隆:人工智能生成的語音電話冒充已知人士——香港日益增多的語音釣魚威脅
  • 專注結構而非語法:仔細審查寄件人域名、連結網址和請求類型——而非只看寫作質量
  • 帶外核實:意外的財務請求——獨立回電核實,即使聲音聽起來很熟悉
  • 情境意識:這個機構真的會以這種方式就此事聯絡你嗎?——思考什麼才是正常的
針對性魚叉式網絡釣魚攻擊的運作方式 →
AI-generated phishing emails harder to detect
4What to Do Next

What to Do When You Suspect a Phishing Email

When you receive an email that triggers suspicion — whether through a recognised red flag or simply a gut feeling that something is wrong — the correct response is to pause and verify rather than dismiss or act immediately. Do not click any links, download any attachments, or provide any information. Take a moment to examine the sender address carefully, then independently verify the communication's legitimacy through an official channel you locate yourself rather than one provided in the email.

If the email claims to be from your bank, call the number on the back of your card or navigate directly to the bank's official website by typing the URL yourself. If it claims to be from a government department, look up the official contact information on a government website you navigate to directly. If it claims to be from a colleague or supplier, call them on a known number. In no case should you use any contact information (phone number, website link, email address) provided within the suspicious email itself — these will be controlled by the attacker.

Report the phishing email to help protect others. Forward suspected phishing emails to your email provider's abuse address ([email protected] for Gmail, [email protected] for Outlook). Report to HKCERT ↗ via hkcert.org/report. If the email impersonates a specific Hong Kong organisation, forward it to that organisation's security or fraud team so they can warn their customers and get the phishing infrastructure taken down. Even if you were not fooled, reporting ensures others have a better chance of recognising the same attack.

  • Do not click or respond: Pause — do not click links, download attachments, or reply to suspicious emails
  • Verify independently: Find the organisation's real contact information through your own navigation — never from the email
  • Call your bank directly: Use the number on your card or the bank's official website, not any number in the email
  • Report to HKCERT: hkcert.org/report — helps get phishing infrastructure taken down
  • Forward to email provider: Gmail's report phishing, Outlook's report phishing — improves filters for everyone
  • Notify the impersonated organisation: Tell the real organisation so they can warn their customers
Where and how to report phishing in Hong Kong →
What to do when you suspect a phishing email

訓練你的眼睛在點擊前識別網絡釣魚

抵禦網絡釣魚的最佳防線是持續保持警惕——查看寄件人地址、預覽網址,並通過獨立渠道核實意外請求。

2026年最佳防網絡釣魚工具 → 網絡釣魚及詐騙意識指南

Related VPN Articles

What Is a VPN?

The complete beginners guide to VPN technology.

How Does a VPN Work?

Encryption, IP masking and data tunnelling explained.

VPN Protocols Explained

OpenVPN, WireGuard, IKEv2 - which should you use?

Best VPNs for Hong Kong

Top-rated VPNs tested for HK users.

VPN for Streaming

Unblock Netflix, Disney+ and more from Hong Kong.

VPN on Public WiFi

Why public hotspots are dangerous and how VPN helps.

VPN Logging Policies

No-log VPNs and what providers really store.

VPN Speed Guide

How much speed does a VPN cost you?

VPN for Mobile

Best VPN apps for iPhone and Android.