「積金易」eMPF 假「退回行政費」釣魚電郵:一封退費通知,騙走你整套個人資料
2026年6月,積金局(MPFA)警告:有假冒「積金易」(eMPF)平台的釣魚電郵正在流傳,從一個冒充的詐騙電郵地址發出,以「退回行政費」這個聽起來像著數的理由為餌,引你點擊電郵內的連結進入一個做得很像的假網站,騙取你的個人資料及「積金易」登入密碼。積金局與「積金易」已澄清與該等假網站及電郵全無關係,並已報警。這場攻擊接連此前一宗濫用 eKYC(電子身份認證)開戶的案件而來,當時「積金易」已即時暫停 eKYC 註冊,改為一律經「智方便」(iAM Smart)核實身份。
一句話看懂
結論:這是詐騙。「積金易」(eMPF)絕對不會用電郵連結叫你「領取退回的行政費」,更不會在這類連結頁面上要你輸入登入密碼或個人資料。真正的「積金易」只用一個官方網域:empf.org.hk;積金局是 mpfa.org.hk;身份核實一律經香港政府「智方便」iamsmart.gov.hk。任何聲稱要退回行政費、叫你點電郵連結登入或填資料的訊息,無論金額多細、看來多正式,都是釣魚騙局。不要點連結、不要在連結頁輸入任何密碼或個人資料。要登入「積金易」,請自己打開官方網站 empf.org.hk 或官方App,切勿用電郵裡的連結。已經中招或想舉報?立即致電防騙易熱線 18222(反詐騙協調中心 ADCC),緊急或已有損失請報案 999,並可將釣魚連結轉交 HKCERT 香港電腦保安事故協調中心。
積金局警告了甚麼
2026年6月,積金局(MPFA)發現並公開提醒市民:有假冒「積金易」平台的釣魚電郵正在散播。這封電郵由一個冒充的詐騙電郵地址發出,聲稱要向收件人「退回行政費」,藉此誘騙收件人點擊電郵內的超連結,進入一個偽冒的網站,再在假頁面上騙取個人資料。積金局與「積金易」平台同時澄清,與該等假冒網站及釣魚電郵全無關係,並已就事件報警處理。
這並非孤立事件。積金局過往亦曾提醒市民提防另一類冒充「積金易」的釣魚郵件,例如聲稱你的「積金易」平台帳戶有「可疑登入」或「異常活動」,同樣誘你點連結進假網站輸入登入密碼。手法雖然換了包裝,套路完全一樣:用一個看似來自官方、又帶點緊迫或著數的理由,把你引到一個騙徒控制的假登入頁,讓你親手交出帳戶。
「退回行政費」這個餌之所以「好用」,在於它聽起來既正當又無害。強積金本來就有行政費,「退回多收的行政費」這種說法完全合乎情理,不像中獎或退稅那麼明顯造假。沒有人會因為一筆「退番俾你」的錢而起戒心,反而會覺得是好事,於是順手一點連結,就墮進騙徒鋪好的圈套。騙徒要的從來不是替你退甚麼費,而是你在假網頁上親手交出的登入密碼和個人資料,那是通往你整個強積金帳戶的鎖匙。
這宗騙案的背景:eKYC 被濫用,積金易改用「智方便」
要明白騙徒為何盯上「積金易」,要先看一宗更早發生的案件。「積金易」原本提供兩種網上註冊方式:一是經香港政府的「智方便」(iAM Smart)數碼身份核實,二是 eKYC,即用手機掃描身份證做電子身份認證。後者一度被不法之徒鑽空子:有人盜用了他人的身份資料,再透過 eKYC 為受害人「開戶」,藉此掌控他人的強積金帳戶。
事件曝光後,「積金易」即時暫停了 eKYC(身份證掃描)這個註冊途徑,改為一律要求經「智方便」核實身份註冊。據官方說法,原本約八成「積金易」註冊成員已是經「智方便」完成,餘下用 eKYC 的部分則因應保安漏洞而暫停。換言之,今日要新註冊或核實「積金易」身份,正路只有一條:香港政府的「智方便」iamsmart.gov.hk。
這個背景對你很重要,因為它正好被騙徒拿來做文章。當「積金易」鬧過身份被冒充開戶、又改了註冊方式,用戶心裡多少有點不安;騙徒便趁這股不安,發出「帳戶有可疑登入」「請重新核實身份」「退回多收行政費」之類的電郵,把你引去假網站。記住一條鐵律:真正的身份核實只會在「智方便」iamsmart.gov.hk 或「積金易」官方網站 empf.org.hk 進行,絕不會經一封電郵裡的陌生連結。
整個騙局如何運作,由電郵到盜取帳戶
這個騙局的設計,是一條把你一步步引向「自己交出帳戶」的滑梯。看清每一級,就不會踏空。
第一步:一封看似官方的電郵。你收到一封電郵,發件人顯示成「積金易」或「eMPF」之類字眼,內容大致是「閣下有一筆多收的行政費可供退回,請點擊以下連結確認領取」,或「你的『積金易』帳戶錄得可疑登入,請即點擊連結核實身份」。電郵會用上「積金易」的標誌、藍綠配色和官腔語氣,乍看與真的無異,但實際的寄件地址是一個冒充的、與官方毫無關係的網域。
第二步:一個幾可亂真的假「積金易」登入頁。點進連結,你會見到一個套用了「積金易」標誌、繁體中文界面的登入或表單頁,與官網極為相似。但網址絕不是 empf.org.hk,而是寄存在免費寄存平台或一次性域名上的冒牌網站。頁面通常要你輸入「積金易」登入密碼、身份證號碼、出生日期、聯絡電話等個人資料,理由是「核實身份以領取退款」或「確認是你本人」。
第三步:盜取你的密碼與個人資料。你一旦在假頁面輸入帳戶密碼和個人資料,這些資料即時落入騙徒手中。掌握了你的登入密碼,騙徒就可能嘗試登入你真正的「積金易」帳戶;掌握了你的身份證、出生日期等資料,更可能被用來冒充你進行其他開戶或申請,後患遠不止一個帳戶那麼簡單。
第四步:橫向利用,後果擴大。強積金帳戶連著你的就業、供款、個人身份等大量敏感資訊。騙徒拿到這套資料後,可能進一步嘗試提取或轉移你的強積金、冒名向其他機構申請服務,甚至把資料賣給其他犯罪集團。整個過程,你「同意」了每一步,因為每一步看起來都只是「確認身份」或「領取屬於自己的退款」。
SafeBrowz 會標記的假「積金易」連結
那個假「積金易」網頁,是整個騙局裡唯一活在你瀏覽器內的環節,這也代表它是掃描器能在你輸入任何密碼或個人資料之前就攔下的環節。在積金局2026年6月點名的個案裡,釣魚電郵的超連結其實指向 jobskop[.]com/HK EMP/ 這個與「積金易」毫無關係的網站。重點正在於此:真正的「積金易」網域只有一個,連結若指向任何其他網域,無論看起來多官方,都是假的。除了這種隨機網站,騙徒也常用冒充「empf」「mpf」字眼的一次性域名(以下為示範,並非真實服務):
- jobskop[.]com/HK EMP/(積金局實際點名的釣魚網址,已去活化)
- empf-refund-hk[.]xyz(示範)
- mpf-verify-hk[.]top(示範)
留意它們的共通點:地址都不是 empf.org.hk。真正的「積金易」只會用 empf.org.hk,積金局是 mpfa.org.hk,身份核實在「智方便」iamsmart.gov.hk。任何聲稱來自「積金易」或積金局、但連結指向其他網域的電郵或短訊,先用下面的檢測框驗一驗,再決定要不要相信。
登入之前,先把連結貼到這裡
收到聲稱來自「積金易」、積金局或「智方便」的電郵連結?貼到下面。我們的三層引擎(本地 + 接口 + AI)約 3 秒給出結論。免費,無需註冊。
每次都能坐實這是詐騙的危險信號
你不必懂科技也能識破它。只要記住「積金易」和政府部門的做事方式,破綻就一目了然。
- 用電郵連結叫你「領取退回行政費」。「積金易」不會用電郵夾一條連結叫你點入去領退款。退回行政費(如有)只會循你帳戶內的正式機制處理,從不靠一條「即領」連結。
- 網址不是 empf.org.hk。這是決定性的一條。真正的「積金易」是 empf.org.hk,積金局是 mpfa.org.hk。只要網址不是 empf.org.hk,無論它是隨機網站(如積金局點名的 jobskop[.]com)還是把「empf」「mpf」「hk」拼在一個古怪域名裡,都是假的。
- 叫你在連結頁輸入登入密碼。正當的「積金易」登入只會在官網或官方App進行,絕不會透過電郵連結頁要你重新輸入密碼「核實」。一旦見到要密碼,立即關掉。
- 索取身份證號碼、出生日期等個人資料。身份核實一律經「智方便」iamsmart.gov.hk,不會在一個陌生連結頁上向你逐項收集個人資料。
- 製造緊迫與恐嚇。「帳戶有可疑登入」「24小時內不核實將被凍結」。這種催逼語氣本身就是騙徒的工具,目的是讓你來不及細想就點下去。
- 用「著數」降低你的戒心。「退回多收行政費」聽起來是好事,正是要你覺得「攞番自己嘅錢,無理由有詐」。著數本身就是餌。
- 發件人名稱看似官方但可偽造。電郵顯示「積金易」「eMPF」不代表真的來自官方,發件人名稱可以被偽冒,真正的寄件網域才是關鍵,而騙徒用的是冒充域名。
核實一封「積金易」通知的正確方法
規則其實只有一條,而且很簡單:永遠不要用電郵裡的連結去登入或核實任何「積金易」帳戶。那條連結正是騙徒控制的入口。
要查你究竟有沒有退款、有沒有可疑登入,請自己動手,從頭打開官方途徑:在瀏覽器自行輸入 empf.org.hk,或從官方應用程式商店安裝「積金易」官方App,用你自己的帳戶登入查看;如涉及身份核實,循「智方便」iamsmart.gov.hk 進行。如對某封電郵或某項安排有疑問,直接致電積金局或「積金易」官網 empf.org.hk、mpfa.org.hk 上公佈的官方熱線查證,而不是回覆電郵或撥打電郵中提供的電話。多花一分鐘自己打開官方網站,勝過在假頁面上交出整個帳戶。
為甚麼強積金是騙徒眼中的肥肉
同一套釣魚劇本,騙徒可以換上任何機構的招牌:銀行、稅局、政府部門。但「積金易」這個招牌特別「抵搏」,原因很實在。
第一,覆蓋面極廣。全港絕大多數在職人士都有強積金,而「積金易」正在分階段把全港計劃成員的帳戶集中到一個平台,隨機亂發都能命中真正的用戶。第二,金額大、價值高。強積金是一個人多年累積的退休錢,一旦帳戶被控制,潛在損失遠高於一筆水費或一張信用卡。第三,情境合理。「積金易」近年正密集推廣、又出過身份被冒充開戶的新聞,用戶對「核實身份」「帳戶安全」之類的訊息特別敏感,騙徒正好借勢。第四,目標可被孤立。不熟悉「積金易」新平台、不常上網核對帳戶的人,最難即時分辨真假,往往是損失最慘重的一群。
這也解釋了為何騙徒會不斷更換寄件地址與釣魚連結:站點被舉報封一個就換一個,靠數量淹沒防守。要追著每一條新連結去封堵,永遠慢半拍;唯有從結構上識破「積金易/積金局 + 電郵連結 + 索取密碼或個人資料」這個組合,才能一次過擋下整個家族。
SafeBrowz 在網絡層面看到甚麼
帳戶被盜用那一刻發生在「積金易」系統內,但讓整個騙局成立的那一環,也就是那個假「積金易」網頁,是一個網頁,而這正是瀏覽器端檢測發揮作用的地方。在 SafeBrowz 引擎中,這類假機構網頁在三層檢測裡的表現都高度一致。
第一,域名又新又一次性。假「積金易」網站幾乎都在攻擊發動前幾天才註冊,被舉報後即棄用換新。真正的 empf.org.hk 與 mpfa.org.hk 是有歷史、已驗證的機構網域。單憑域名年齡與機構冒充信號,就能在頁面內容載入之前標記出大量這類站點。
第二,網域是破綻。這些「退款頁」「登入頁」的網址都不是 empf.org.hk,可能是隨機網站(如 jobskop[.]com),也可能把「empf」「mpf」「hk」拼在 vercel.app、pages.dev 或 netlify.app 子網域上,因為騙徒要消耗成百上千個一次性站點,而免費寄存不花一分錢。任何真正的「積金易」服務都只會在 empf.org.hk 之下。免費寄存加機構關鍵詞這個組合,本身就是一個高置信度信號,與頁面寫了甚麼無關。
第三,內容是一份教科書式的機構冒充畫像。一個套用「積金易」標誌的登入或退款表單、一個索取登入密碼的欄位、一格要你填身份證和出生日期的個人資料表,全都由一個毫無官方痕跡的主機提供。內容層分析能抓住一個任何黑名單都未見過的全新仿冒站,這一點至關重要,因為這些站點被批量生產的速度,比任何靜態名單能追蹤的都快。
SafeBrowz 如何攔截此威脅
SafeBrowz 採用 3 層檢測架構:本地 + API + AI。
- 第 1 層 - 本地檢測:60+ URL 模式 + 550+ 品牌與機構專屬簽名(包括同形異義與 Punycode 變體)+ 社群白名單/黑名單,全部在擴展程序中直接運行,於頁面渲染之前完成。它能即時抓住免費寄存子網域上的機構關鍵詞、廉價 TLD 濫用,以及把「empf」「mpf」縫進古怪域名的仿冒家族。
- 第 2 層 - API 檢查:聚合 Google Safe Browsing、PhishTank、URLhaus、ScamAdviser,外加域名年齡查詢(多數假機構站只有幾天歷史)和 30+ 詐騙 TLD。
- 第 3 層 - AI 深度掃描:支援 100+ 語言的內容感知品牌與機構冒充分析,能抓住一個任何黑名單都未見過的全新假「積金易」登入或退款頁,包括那些套用機構標誌、索取密碼與個人資料的頁面。
檢測簽名源自威脅情報研究和我們內部的品牌數據庫,而非用戶瀏覽數據。SafeBrowz 不儲存每個用戶的瀏覽歷史。這正好呼應積金局的核心忠告:看清楚網域、只在官方網站登入。SafeBrowz 在連結被點開、頁面載入之前,就替你把那個假網域標記出來。
不想安裝任何東西的人,可以使用同一引擎驅動的免費 公共網址檢測工具。貼上任何可疑連結,幾秒鐘得到結論。
現在該怎麼做
如果你剛收到這類電郵,或者懷疑自己已經中招,正確的應對如下。
- 不要點連結,不要在連結頁輸入任何資料。就算只是「填個身份證號碼核對一下」也不要做。一個會問你「積金易」登入密碼、身份證或出生日期的退款/核實頁,必然是假的。
- 登入只走官方途徑。自行打開 empf.org.hk 或「積金易」官方App登入查看,身份核實循「智方便」iamsmart.gov.hk,切勿用電郵裡的連結或電話。
- 如已輸入密碼,立即更改「積金易」密碼。從官方途徑登入後盡快更改密碼;如該密碼也用於其他帳戶(如電郵、銀行),一併更改,並開啟雙重認證。
- 如已洩露個人資料,提高警覺並通知相關機構。身份證、出生日期等一旦外洩,日後可能被用來冒充你;如有需要,可考慮通知銀行或相關機構留意可疑申請。
- 致電防騙易熱線 18222。反詐騙協調中心(ADCC)的 18222 可即時提供求助與防騙意見;若已有金錢損失或屬緊急情況,請報案 999 或聯絡香港警務處。報案時附上釣魚電郵、發件地址、連結網址及任何紀錄。
- 把釣魚連結轉交 HKCERT,並通報積金局。香港電腦保安事故協調中心會協助封禁釣魚網站,向他們提交可疑連結有助保護其他人;同時可循積金局官網 mpfa.org.hk 公佈的渠道通報。
如果你是替年長的父母或親戚讀這篇文章,今天就替他們把「積金易」官方App裝好、把官方熱線記下,並約定一句話:「收到任何叫你登入或退費的『積金易』電郵,先打給我。」一封偽冒的電郵,敵不過一通打回家的電話。我們完整的 《被騙了,現在該怎麼辦》 指南詳細講了頭一小時的補救步驟。
常見問題
積金易會用電郵退回行政費嗎?
不會。「積金易」(eMPF)不會透過電郵夾一條連結叫你點入去「領取退回的行政費」,更不會在這類連結頁面上索取你的登入密碼或個人資料。積金局2026年6月已警告,這類以「退回行政費」為餌的電郵是假冒「積金易」的釣魚電郵,由詐騙電郵地址發出,目的是騙取個人資料。任何聲稱要退回行政費、叫你點電郵連結登入或填資料的訊息,都是釣魚騙局。「積金易」只用官方網域 empf.org.hk。
empf.org.hk 是真的官網嗎?
是。empf.org.hk 是「積金易」(eMPF)的官方網站,積金局(MPFA)則是 mpfa.org.hk,兩者都是真確的官方網域。如果你收到的連結不是 empf.org.hk,無論它是隨機網站(如積金局點名的 jobskop[.]com)還是把「empf」「mpf」「hk」拼進一個古怪域名,都是假的,無論頁面上的標誌和配色做得多像。身份核實一律經香港政府「智方便」iamsmart.gov.hk。最穩陣的做法是不要點電郵連結,自己在瀏覽器輸入 empf.org.hk。
我已經在假網站輸入了資料怎麼辦?
立即從官方途徑(自行輸入 empf.org.hk 或官方App)登入並更改「積金易」密碼;如同一密碼也用於其他帳戶,一併更改並開啟雙重認證。如你洩露了身份證號碼、出生日期等個人資料,要提高警覺,留意日後有否被冒名申請。然後致電防騙易熱線 18222 求助;如已有金錢損失或屬緊急,請報案 999 或聯絡香港警務處,並保留釣魚電郵、連結及任何紀錄作證。
如何舉報積金易釣魚電郵?
在香港,致電反詐騙協調中心的防騙易熱線 18222 求助及舉報;如已損失金錢或屬緊急情況,請報案 999 或聯絡香港警務處。可將釣魚電郵及連結轉交香港電腦保安事故協調中心(HKCERT)協助封禁,並循積金局官網 mpfa.org.hk 公佈的渠道通報,讓官方掌握最新冒充手法。舉報時請附上釣魚網址、電郵內容、發件地址及任何相關紀錄。
免費安裝 SafeBrowz
添加這款瀏覽器擴展,它會掃描每一個連結,包括假冒「積金易」、積金局或其他機構的釣魚連結,在頁面渲染之前完成。永久免費。