公司防範網絡攻擊指南：常見網上騙案手法與防護策略

中小企網絡安全防護：釣魚攻擊、勒索軟件與防騙

內容目錄

• 認清你的敵人 — 當今最常見的網絡攻擊手法

• 建立防線 — 網絡防衛實戰策略

| 數碼洪流下，企業如何築起最後防線？

在數碼化時代，網絡安全已成為中小企必須正視的課題。網絡攻擊已不再是大型企業的專利，中小企因資源相對有限，反而成為了黑客眼中的「肥肉」。根據香港網絡安全事故協調中心的資料，網絡保安事故由 2023年的 7,752宗上升至 2024年的 12,536宗，按年上升了62%，其中釣魚攻擊更是主要威脅之一。本文將介紹幾種常見的網絡騙案手法，並提供實用防範建議，助中小企保護公司資產與客戶資料。

認清你的敵人 — 當今最常見的網絡攻擊手法

1. 無處不在的「新一代」釣魚攻擊 (Phishing)

釣魚攻擊是黑客最常用、成本效益最高的入侵手段。他們會偽裝成你信任的機構（如銀行、政府部門、客戶或供應商），甚至以deepfake技術假冒公司高層，在視像會議誘騙公司員工過數至陌生帳戶、交出敏感資料或點擊惡意連結。如今，釣魚攻擊已演化出多種形態：

二維碼釣魚：在公眾場所的海報、餐廳的電子餐牌，甚至偽冒的罰款通知單上，放置含有惡意連結的QR Code。員工一旦掃描，手機便可能被植入木馬程式或導向假冒網站。

短訊釣魚：大家可能收過偽冒成電訊公司、速遞服務或電子收費系統的SMS，聲稱你有積分到期、包裹待領或賬單未付，並附上一個可疑的短連結。這就是典型的短訊釣魚。

語音釣魚：騙徒會直接致電，利用AI語音或真人偽冒成執法部門、銀行職員，以各種藉口（如戶口異常）套取您的個人或公司資料。

搜尋引擎優化中毒：當員工搜尋常用軟件或商業資訊時，黑客會利用搜尋引擎優化技術，將他們的假冒網站推到搜尋結果的前列。員工一旦從這些網站下載檔案，便可能同時下載了惡意軟件。

西里爾字母偽冒：這是一種肉眼幾乎分不出的假冒手法，也叫「同形異碼」攻擊（IDN homograph attack）。駭客會用「長得像英文但其實不是英文」的字母（例如西里爾字母）來註冊網址。這些字母在電腦裡是不同的編碼，但外觀幾乎一樣。

結果，連結看起來像是真的網站，實際卻是假的。例如：

表面看：www.hsbc.com

但實際上可能是 www.hsbs.com

(英文字母中的c與西里爾字母的s極相像)

如果不仔細看或沒有檢查網址，就很容易點進假網站，被騙輸入帳號密碼或下載惡意程式。

2. 殭屍網絡

殭屍網絡是指一組電腦受惡意程式碼的感染，並受到惡意執行者的控制。如果公司的電腦或伺服器不幸被惡意程式感染，它可能會在你不知情下，成為「殭屍網絡」的一員，被黑客遙距控制，透過指揮伺服器，向殭屍電腦發出指令進行工作，令你的公司無意中成為黑客的幫兇。

3. 各式各樣的惡意軟件

一旦釣魚成功，黑客便會將惡意軟件植入你的系統，常見的有：

勒索軟件 (Ransomware)：這是中小企的噩夢。它會將你公司的所有重要檔案，包括客戶資料、會計數據、合約等全部加密鎖上。黑客會要求你支付巨額贖金（通常是難以追蹤的加密貨幣）來換取解密金鑰。近年肆虐全球的 LockBit 勒索軟件集團便是典型例子。

木馬程式 (Trojan)：它會偽裝成無害的軟件（如PDF閱讀器、系統更新檔），誘騙你安裝。一旦安裝了，它就會為黑客打開後門，讓他們竊取你網上銀行的登入密碼、商業機密等。

資訊竊取程式 (Info-stealer)：這種間諜軟件會潛伏在你的電腦中，靜靜地監視和記錄你的所有鍵盤輸入、瀏覽紀錄和儲存的密碼，然後傳送給黑客。

建立防線 — 網絡防衛實戰策略

面對層出不窮的攻擊，我們不能只做被動的防守者。根據香港生產力局的專家建議，企業應從「網絡安全 (Cyber Security)」思維，進化到「網絡靭性 (Cyber Resilience)」思維。這意味著，我們不僅要防範攻擊，更要具備在攻擊發生後迅速恢復營運的能力。

策略一：採納「零信任」態度

這是現今網絡安全的黃金法則，其精神是「永不信任，驗證為上」。不要輕易相信任何來自網絡內外的用戶或裝置。對每一次的登入、每一次的檔案存取、每一封要求匯款的電郵，都必須進行驗證。將這種懷疑態度融入公司文化，是防範騙案的第一步。

策略二：鞏固技術防護

1. 啟用多重認證：這是防範帳戶被盜最有效的方法之一。要為所有重要系統（特別是電郵、網上銀行、雲端儲存和VPN）啟用多重認證。即使黑客偷到密碼，沒有你手機上的驗證碼，他們也無法登入。

2. 執行「3-2-1備份原則」：這是對抗勒索軟件的最後一道，也是最強大的防線。

   3 個副本：對所有重要資料，保留最少三個備份。

   2 種不同儲存媒體：將備份存放在兩種不同的媒介上，例如一個在公司伺服器，另一個在外置硬碟。

   1 份異地備份：將其中一份備份存放在公司以外的地方（例如安全的雲端儲存服務或家中）。

   這樣，即使公司的電腦和伺服器全被加密，你仍能從異地備份中恢復資料，無需向黑客支付贖金。

3. 時刻保持軟件更新：作業系統（Windows, macOS）和應用程式（如瀏覽器、Office套件）的開發商會不斷發佈更新，以修補已知的安全漏洞。請務必開啟自動更新，或定期手動檢查更新。

策略三：強化人員意識

人是防線中最重要的一環。

1. 定期舉辦防騙培訓：讓所有員工了解最新的釣魚手法。

2. 建立清晰的付款驗證流程：任何要求更改付款帳戶資料或緊急匯款的指示，絕不能單憑電郵確認。必須透過預設的第二渠道（如致電對方公司你已知的電話號碼）與負責人親口核實。

3. 鼓勵提問文化：讓員工明白，當遇到可疑情況時，提出疑問並尋求協助是負責任的表現，而不是麻煩。

4. 使用「防騙視伏器 (Scameter)」：這是由警方推出的免費工具（有網站版及手機App）。提醒你的員工，當收到可疑的網址、電話號碼或收款帳號時，可以先輸入「防騙視伏器」進行查核，它會根據資料庫評估風險級別。

延伸閱讀：〈香港中小企防騙攻略：提子提子，提防騙子〉

網絡安全已不再是IT部門的專職，而是每位中小企老闆必須正視的營運風險。網絡威脅不斷演化，中小企必須主動採取防護措施，從技術、流程和人員三方面著手，建立全面的網絡安全防線。定期備份、強化認證、員工培訓及善用免費資源，能有效降低遭受攻擊的風險。若遇到安全事件，應立即尋求專業協助，避免損失擴大。

免責聲明：以上內容僅供一般資訊參考，並不構成具體建議或專業諮詢。若遇特殊問題，建議直接向有關機構查詢最新詳情，或諮詢專業人士以獲取準確的建議。