水能载舟，亦能覆舟。随着人工智能（AI）兴起，不法之徒的骗局也变得更高智能。香港去年整体科技罪案宗数按年下跌约6.9%，但损失金额却上升23.2%，其中渗透市民日常生活的“钓鱼”骗案数字，跌幅约六成，惟损失金额增加逾一倍，反映网络罪案“贵精不贵多”，正向高度针对性、高度破坏力方向发展。警方分析发现，“钓鱼”攻击向三方面进化，包括骗徒以低成本网购“钓鱼套件”配合自动化工具，大规模生成和发布海量诈骗短讯；针对受害人“量身订造”个性化行骗“剧本”；最后是利用人工智能“深伪技术”增强仿真度，更精准、更逼真行骗，令机构员工或市民防不胜防。去年就有一名会计员中招，令公司损失1,900万元。

去年11月，一间公司会计职员收到一条WhatsApp短讯，骗徒假冒WhatsApp管理员声称系统更新，要求提供账户验证信息。事主按照指示输入密码，变相交出访问权限，令骗徒洞悉账户所有对话，并冒充公司合作伙伴，用新手机号码向事主发送讯息，讹称收款账户已更改，并提供3个新的银行账户，事主未经核实，分4次转出合共1,900万元。

每4宗网络威胁有1宗涉“钓鱼”

警方网络安全及科技罪案调查科署理高级警司许绮惠日前接受访问时分析“钓鱼”骗案最新趋势，她指“钓鱼”攻击趋向更精准、更逼真、更难识别的方向发展。从香港整体网络威胁形势分析，去年针对香港的网络威胁情报超过150万宗，当中“钓鱼”攻击占约27%，即平均每4宗威胁就有1宗涉及“钓鱼”。

香港“钓鱼”骗案报案从前年的2,731宗，下跌至去年的1,093宗，但损失金额则由前年约5,000万元，上升至去年的1.1亿元。骗徒会设计“钓鱼”连结引导受害人在假网站输入证券户口、网上银行或信用卡登入资料以盗取更多款项，市民一旦登入“钓鱼”连结便会“输身家”。

暗网有贩售多样化“网钓套件”

警方观察到“钓鱼”攻击已经全面进化，主要集中在三方面：第一，规模化和自动化工具全面渗透。骗徒很容易从不同渠道获取“钓鱼工具”服务，降低技术门槛，令犯罪工具完全平台化，骗徒只需网购工具即可进行大规模发动攻击，再配合自动化工具，可以全天候大规模生成诈骗内容，再经由短讯（SMS）、社交媒体或语音通话等多个渠道渗透。

据资料显示，有一种“网络钓鱼即服务”平台，是黑客在暗网贩售多样化网钓套件与范本，提供一次性买断或订阅服务，骗徒能以低成本获取技术，令近年来钓鱼攻击愈发频繁及具威胁性。

搜个人讯息量身订造“钓鱼讯息”

第二是个人化包装，现时愈来愈多人在社交媒体分享个人生活，令骗徒容易收集受害人背景而“量身订造”“钓鱼”讯息，令行骗内容更具说服力，骗取受害人的信任，精准伪装不同政府机构、企业、机构等，骗取账号密码或者信用卡资料。

用“深伪”工具模拟同事亲友

第三是人工智能“深伪技术”，骗徒很容易在网上获取“深伪”工具，制作仿冒图片、声音、画面等，做到高仿真度模拟上司、同事，甚至是业务伙伴的声音和样貌直接诱骗。这些诈骗讯息透过AI驱动，在语气和逻辑上，凭肉眼难分辨真假，令市民防不胜防。

因为市民几乎把所有的通讯和交易都集中在手机进行，短讯是最快最容易接触用户的渠道。去年“钓鱼”骗案中“钓鱼”短讯占超过九成，“钓鱼”电邮占约2.6%，透过WhatsApp、Telegram、Messengers以及其他即时通讯软件发放“钓鱼”短讯占6.5%。而用“钓鱼”电邮或短讯行骗的手法都一样，不过“钓鱼”电邮往往涉及金额相对较大，因此市民对两者都不能掉以轻心。

警方提醒市民，AI时代的骗案，已不再是骗徒“识唔识做”，而是可以做得“多快和多真”，市民一刻放松警惕，随时被“钓尔轻心”损失金钱。