top of page
搜尋

提子提子,提防騙子:香港中小企防騙全攻略

  • 端木站長
  • 5天前
  • 讀畢需時 6 分鐘

從假冒CEO到勒索病毒,中小企不再只是「肥羊」:建立科技、制度與人員三重防線,保護你嘔心瀝血的事業基石

提子提子,提防騙子:香港中小企防騙全攻略,企業防騙基本的三大策略,中小企最常中招的陷阱,圖示包含騙子和建築。

内容目錄


| 騙局處處,小企點拆招?


一封電郵足以掏空公司?建立防騙「三道防線」,保障公司的商業利益

當警方近年不斷提醒市民小心騙徒,提防騙子時,政府部門亦難以倖免。物流署在招標政府部門飲用水時,有承辦商「鑫鼎鑫」涉嫌利用偽造成份的文件以符合投標要求,令該公司成功獲標,亦讓香港政府也成為眾多詐騙案的受害者之一。根據警務處長蕭澤頤在立法會上向議員透露,去年(2024年)的案件較前年增加5%,主要是由詐騙案的升幅帶動,當局去年接獲約4.4萬宗詐騙案,按年上升11.7%,佔整體罪案約四成七,當中大部分屬網上騙案,尤其是假冒客服騙案。當資源龐大的政府部門都會誤墮騙局時,資源有限的中小企更要時常保持警惕之心,避免辛苦賺來的盈利被騙徒騙去。


本文整理了一些資料,旨在為各位中小企東主提供一份詳盡的生意往來防騙指南,助你洞悉潛在陷阱,保護得來不易的成果。



常見騙案手法

根據香港警務處商業罪案調查科及多家網絡安全機構的資料,以下幾類騙案對本地中小企構成最大威脅:


 1. 商務電郵騙案

這是目前最普遍且殺傷力極大的騙案類型。騙徒主要透過兩種方式行騙:

「假冒行政總裁」騙案:騙徒會入侵或偽冒公司高層的電郵帳戶,然後向下屬(特別是財務或會計部職員)發出看似真實的緊急匯款指示,要求將資金轉入指定的陌生戶口。由於指令來自「上司」,職員在時間壓力下或未經核實便會執行,導致公司損失。

「偽冒供應商」或「更改付款帳戶」騙案:騙徒會入侵公司或你生意夥伴(供應商、客戶)的電郵系統,在雙方溝通的電郵中潛伏,窺探交易詳情。在接近付款階段時,騙徒會偽冒供應商發出電郵,聲稱其銀行戶口已更改,並附上一個由騙徒控制的新戶口資料,要求將貨款轉至該戶口。


2. 網絡釣魚

網絡釣魚是大部分網絡攻擊的起點。騙徒會發送大量偽冒成銀行、政府機構或知名企業的電郵、短訊甚至二維碼,誘騙員工點擊惡意連結或下載附件。 這些連結會導向幾可亂真的假冒網站,一旦員工輸入公司帳戶的登入名稱與密碼,騙徒便能盜取敏感資料,進而發動更深入的攻擊,例如安裝勒索軟件或發動上述的商務電郵騙案。近年調查顯示,絕大部分曾遭受網絡攻擊的香港企業都表示遇到過釣魚攻擊。


3. 勒索軟件

透過釣魚電郵或其他系統漏洞,黑客會在企業的電腦系統植入勒索軟件,將所有重要檔案加密鎖上。隨後,黑客會要求企業支付贖金(通常為加密貨幣)以換取解密金鑰。即使企業支付贖金,也無法保證能完全恢復檔案,而且可能令企業成為未來攻擊的目標。這不但造成業務停頓,更可能導致客戶敏感資料外洩,引發更嚴重的後果。


4. 貸款詐騙

近年,有詐騙集團利用政府推出的「百分百擔保特惠貸款」計劃,以虛假交易文件或誇大僱員數量及營運開支等方式,向銀行騙取貸款。他們甚至會透過電話推銷(Cold Call)招攬中小企東主,聲稱可提供「一站式」服務協助申請,從中騙取個人及公司資料作不法用途,或收取高昂手續費。



建立全方位防禦體系

面對狡猾的騙徒,單一的防禦措施並不足夠。中小企必須從科技、制度和人員三方面入手,建立一個縱深防禦體系。


策略一:強化網絡安全建設——建立數碼堡壘

在數碼時代,網絡安全是企業的第一道防線。即使資源有限,中小企亦應投放資源於基礎而關鍵的防護措施:

  1. 部署基本保安設施:安裝及定期更新防火牆、防毒軟件及反惡意程式軟件,有效阻擋已知的網絡威脅。

  2. 採用多重認證:為所有重要的系統(特別是電郵、網上銀行及雲端服務)啟用多重認證。即使密碼被盜,騙徒仍需第二重認證(如手機驗證碼)才能登入,大大提高帳戶安全性。

  3. 定期更新及備份:確保所有作業系統、應用程式及軟件均已更新至最新版本,以修補已知的安全漏洞。同時,必須對重要業務資料進行定期備份,並將備份存放在離線或獨立的儲存裝置,以應對勒索軟件攻擊。

  4. 保障網絡通訊安全:使用 SSL/TLS 加密(Secure Sockets Layer / Transport Layer Security)確保網站數據傳輸,並確保公司Wi-Fi網絡設有高強度密碼及安全加密標準,防止未經授權的存取。

  5. 考慮網絡保安託管服務:若缺乏內部IT專才,可考慮聘用專業的網絡保安服務供應商,他們能提供7x24的威脅監測、事故應變及專家支援,以符合成本效益的方式提升企業的防護水平。


策略二:完善內部監控制度——建立「人肉防火牆」

嚴謹的內部流程是防範內部疏忽及外部詐騙的關鍵。許多騙案的成功,往往源於制度上的漏洞。

  1. 建立清晰的付款驗證程序:這是防範商務電郵騙案最有效的一環。應制定嚴格政策,規定任何更改供應商戶口資料或突發的匯款要求,都必須透過預設的第二渠道(例如致電對方公司已知的電話號碼)與對方負責人直接確認,絕不能單純依賴電郵或即時通訊軟件的指示。

  2. 實行職責分工:避免由同一名員工處理整個付款流程(例如,由一人申請,另一人審批,再由第三人執行支付),以達致互相監察的效果,減低內部員工串謀或因單一員工受騙而導致損失的風險。

  3. 定期審核帳目:管理層應定期抽查及審核銷售、採購及付款記錄,偵測任何不尋常的交易。


策略三:提升員工防騙意識——公司的第一道防線

人為錯誤是導致網絡安全事故的主要原因之一。 因此,提升員工的警覺性至關重要。

  1. 進行背景調查:在進行任何商業交易之前,應對交易對象進行背景調查。包括查詢其商業登記、信譽評級以及過去的交易記錄。可以利用香港的商業登記處、信用評級機構和行業協會等資源進行查詢。

  2. 定期舉辦防騙培訓:應定期為所有員工(特別是處理敏感資料及財務的同事)提供網絡安全和防騙意識培訓,講解最新的騙案手法及應對方法。

  3. 進行模擬釣魚演習:可與專業機構合作,向員工發送模擬的釣魚電郵,以測試他們的警覺性,並針對性地對需要改進的員工提供額外指導。

  4. 建立「合理懷疑」文化:鼓勵員工在遇到任何可疑的電郵或指示時,勇於提出疑問並向上級或IT部門報告,而不是因害怕犯錯而啞忍。管理層應營造一個開放的溝通環境,讓「小心求證」成為企業文化的一部分。



不幸中招?緊急應變措施

若不幸懷疑已墮入騙局,必須果斷採取行動,爭分奪秒減低損失:

  1. 立即聯絡銀行:若已匯款,應立即致電你的銀行,要求緊急止付或盡力追回款項。同時,應聯絡收款方的銀行,通報該宗可疑交易。

  2. 向警方報案:馬上致電「防騙易18222」熱線或前往就近警署報案。香港警務處的反詐騙協調中心及商業罪案調查科設有專責隊伍處理此類案件。

  3. 保護證據:保留所有相關通訊記錄、匯款單據、可疑電郵及網站截圖,並立即更改所有可能已洩露的帳戶密碼。

  4. 內部通報及檢討:通知公司管理層及IT部門,檢查公司系統有否被入侵,並盡快進行內部檢討,堵塞安全漏洞,防止同類事件再次發生。



總結:防患未然,持久警惕

商場如戰場,在數碼年代更是如此。騙徒無孔不入,但只要中小企東主能正視風險,採取主動,從科技、制度及人員三方面建立穩固的防線,便能大大減低受騙的機會。防騙工作並非一次性的項目,而是一項需要持續投入和不斷完善的長期任務。



免責聲明:以上內容僅供一般資訊參考,並不構成具體建議或專業諮詢。若遇特殊問題,建議直接向有關機構查詢最新詳情,或諮詢專業人士以獲取準確的建議。

留言

bottom of page