臨近聖誕購物旺季，香港網絡安全事故協調中心（HKCERT）提醒市民在網上購物時務必提高警覺，保護個人資料，以防身份盜竊及網絡詐騙。詐騙手法包括假冒知名購物平台、釣魚電郵、社交媒體優惠陷阱等。

HKCERT 觀察到，詐騙集團會在節日高峰期建立高度仿真的假冒購物平台網站，誘使用戶輸入登入帳號、信用卡資料、送貨地址等敏感訊息。

節日優惠陷阱及偽冒電商平台職員

Check Point 軟件技術近日發佈 2025 年 11 月《全球威脅指數》報告，揭示香港網絡安全形勢持續惡化。數據顯示，本港每間機構平均每週遭受 2,002 次網絡攻擊，按年大增 36%，升幅連續四個月高踞亞太區首位，反映本地企業正面臨前所未有的威脅壓力。

報告指出，教育業在 11 月成為香港最主要攻擊目標，其次為工業及製造業；而在亞洲區，教育業同樣首當其衝，電訊業則緊隨其後。這顯示知識產業及基礎設施相關行業，因持有大量敏感數據及依賴互聯網服務，已成為黑客集中火力的對象。

Check Point Research 指出，全球企業在 11 月使用的每 35 個 GenAI 指令中，就有 1 個涉及高度外洩風險，影響到 87% 恆常使用 GenAI 的機構。另有 22% 的指令涉及潛在敏感數據，包括內部通訊、客戶資料及專有程式碼，突顯加強 AI 管治及數據保護的迫切性。

網絡犯罪正迅速演變為高度組織化、自動化及人工智能（AI）驅動的產業。隨著 AI 技術演進，網絡安全的勝負不再取決於誰率先創新，而是誰能迅速將情報即時轉化為行動。

Fortinet 北亞區資訊安全總監鄺偉基（Daniel）強調，網絡攻擊已不再是零散事件，而是漸見成熟的工業體系。攻擊者利用生成式 AI 及威脅情資不斷精進攻擊鏈，防禦者必須透過 AI 協作與全球合作，才能縮短差距，並打破犯罪經濟循環。

鄺偉基引用 FortiGuard Labs 最新發佈的《2026 年網絡威脅預測報告》，指隨著 AI、自動化及成熟的供應鏈，網絡入侵將比以往更快速且容易。攻擊者不再專注研發全新工具，而是透過流水線式的 Pipeline 強化既有技術，形成「犯罪即服務」（Crime-as-a-Service）。

資安研究團隊 Koi 公佈，一個名為「ShadyPanda」的黑客組織，過去 7 年間透過瀏覽器插件展開大規模惡意攻擊，感染超過 430 萬名 Google Chrome 及 Microsoft Edge 用戶。受影響插件包括後門程式及間諜軟件，並將用戶數據傳送至中國伺服器。

報告指出，攻擊者先以合法插件包裝，累積數十萬甚至數百萬次下載，然後在多年後推送含惡意程式的更新，令所有用戶自動中招。由於 Chrome 及 Edge 的插件審核僅限於首次提交，未有持續監管，令這些獲「精選」及「驗證」標籤的生產力工具，長期在暗中竊取敏感資料。

其中一個名為 Clean Master 的插件，由 Starlab Technology 發佈，下載量逾 20 萬次。2024 年中，ShadyPanda 推送含遠端代碼執行後門的更新，令 30 萬用戶受感染。雖然相關插件已被下架，但研究人員警告，攻擊基建仍在受感染瀏覽器上運作。

大埔宏福苑 5 級火災牽動人心，義工義載行動迅速，盡顯香港人互助精神。社會各界紛紛捐款以支援救災及援助工作，奈何總有不法之徒借火災名義進行詐騙，先以「GovHK」名義發送短訊，聲稱受災捐款已自動扣款，並引用「紅十字基金」及「宏福苑火災」增加可信度，並附上 9 位數字電話號碼，以便受害人後續聯絡客服人員查詢。

據資料所得，如果致電短訊中的電話要求退款，騙徒會先聲稱捐款活動由「國家銀行中心」及「香港金管局」參與，以增加可信度。當受害者堅持退款時，對方會要求再致電另一個客服號碼，並提供一個網址，指示必須使用 Google 瀏覽器打開，並在該網站上辦理退款。

該網站採用銀聯標誌，在「資料提交」欄位中，要求用戶輸入銀行卡號、密碼以及網上銀行帳戶密碼，藉此竊取敏感財務資訊。