警方與香港互聯網註冊管理有限公司(HKIRC)去年舉辦「釣魚電郵演習2024」,今公布測試結果,顯示超過七成的參予員工點擊釣魚電郵,其中點擊率最高的主題為「人事部門問卷調查」。
Fortinet香港、澳門及蒙古區總經理馮家健(左)網絡安全及科技罪案調查科網絡安全組警司陳純青(中)及香港互聯網註冊管理有限公司行政總裁黃家偉(右)
逾七成公司有員工點擊過「釣魚電郵」
點擊看圖輯
Fortinet香港、澳門及蒙古區總經理馮家健(左)網絡安全及科技罪案調查科網絡安全組警司陳純青(中)及香港互聯網註冊管理有限公司行政總裁黃家偉(右)
今年共有216間企業,37220名員工參與,其中有4285人曾點擊過「釣魚電郵」,且167間公司中至少有一名員工曾點擊過該郵件。
點擊率最高的主題是「人事部門問卷調查」,佔總點擊率的9.5%
電郵依然是全球最關鍵威脅媒介,其中網絡釣魚仍是全球三大網絡安全的威脅之一。
香港電郵騙案數字過去5年呈持續下降態勢
針對辨別可疑電郵,只需留意幾個簡單的細節
警方最後提醒市民不要開啟來歷不明的電郵
警務處網罪科聯同香港互聯網註冊管理有限公司(HKIRC)去年8至12月舉辦「釣魚電郵演習2024」,216間企業共37220名員工參與,其中逾七成,即共167間公司、4285名員工點擊過最少一封「釣魚電郵」。
網絡安全及科技罪案調查科網絡安全組警司陳純青介紹,警務處網罪科自2021年開始舉辦「釣魚電郵」演習,今年更添新元素,於其中兩封電郵內的連結加入資料輸入頁面,測試參加者會否在按下連結後再輸入個人資料。
他續指,今年參與人數較去年增加2.6倍。參與演習的員工會先後收到4封不同主題的模擬釣魚電郵,分別關於「人事部門問卷調查」、「銀行賬戶安全警示」、「IT部門系統測試請求」和「視像會議應用更新」。當員工點擊電郵內附連結並進入預設網站,便會被視為「上釣」,即遭受釣魚攻擊。
今年共有216間企業,37220名員工參與,其中有4285人曾點擊過「釣魚電郵」,且167間公司中至少有一名員工曾點擊過該郵件。
演習結果顯示,點擊率最高的主題是「人事部門問卷調查」,占總點擊率的9.5%。其次是「銀行賬戶安全警示」,佔4.2%,以及「IT部門系統測試請求」,佔3.1%。而點擊率最低的主題是「視像會議應用更新」,僅佔3.0%。
330人在釣魚網站提供個人資料
另外,逾7成參與者曾開啟多於一封電郵的連結,而逾一成的參與者更點擊了全部四封釣魚電郵。
值得注意的是,在「人事部門問卷調查」的釣魚電郵中,超過3300名員工點擊了釣魚連結,其中超過330人在釣魚網站上提供了個人資料,結果反映出機構內部員工的安全意識或培訓仍存在不足之處。
點擊率最高的主題是「人事部門問卷調查」,佔總點擊率的9.5%
Fortinet香港、澳門及蒙古區總經理馮家健表示,電郵依然是全球最關鍵威脅媒介,特別是針對金融服務和關鍵基礎設施的攻擊,佔所有攻擊的是70%以上;其次就是垃圾郵件,在所有電子郵件裡,每5封中就有1封垃圾郵件,佔19%;第三外洩攻擊,自2022年以來,社會工程機商業電郵外洩攻擊增加了1700%。
面對網絡釣魚問題,他建議企業需定期進行安全意識培訓;其次,實施多層信任架構,增強系統的安全性;最後進行持續的監控和威脅評估,及時發現並應對潛在風險。
電郵依然是全球最關鍵威脅媒介,其中網絡釣魚仍是全球三大網絡安全的威脅之一。
陳純青表示,香港電郵騙案數字過去5年呈持續下降態勢。從2019年的816宗案件回落至2023年的208宗,損失金額也從2019年的高峰25.3億港元大幅減少九成至2023年的1.6億港元。2024年首11個月,電郵騙案數字繼續輕微下跌,共錄得187宗案件,比2023年同期減少約2宗,損失金額則降至約1.6億港元,比2023年同期減少約35%。絕大部分電郵騙案仍以企業為主要目標。
然而,全球電郵騙案仍十分猖獗,每天約有34億封詐騙釣魚電郵產生,平均每人大約每兩天會收到1封詐騙電郵。
香港電郵騙案數字過去5年呈持續下降態勢
他續指,儘管電郵騙案數字下降,但公眾不能鬆懈對可疑電郵的警惕。以2024年首11個月的187宗電郵騙案為例,平均每宗案件的損失仍高達55萬港元。去年更有一宗電郵騙案涉及高達1634萬元虛擬貨幣。
網罪科一直致力於舉辦各類活動,與業界共同抵禦科技罪案的威脅,2025年首季,網罪科將舉辦名為「守網季」的網絡安全運動,通過線上和線下活動來推廣全民數碼安全和防騙訊息。今年「守網季」主題是「守網聯盟」,希望透過與不同政府部門、公營機構以及私人公司合作,從多個途徑宣揚防騙訊息,並推動一系列措施對抗日新月異的科技罪案。
針對辨別可疑電郵,陳表示只需留意幾個簡單的細節。首先,檢查發件人的電郵地址是否有異常,如將字母「L」寫成「1」,或將「O」寫成「0」。其次,關注電郵內容是否存在文法或拼寫錯誤。
此外,檢查電郵中的商標是否為舊版本,圖像的分辨率是否過低,或圖像比例是否異常。最後,將桌面電腦的滑鼠指針停在電郵地址或連結上,即可顯示完整的地址或連結,幫助判斷其真實性。
針對辨別可疑電郵,只需留意幾個簡單的細節
為協助香港中小企業識別可疑電郵,警方網罪科與香港大學於2023年初推出了「衛郵計劃」(Project e-GUARD),研發可疑電郵偵測軟件V@nguard。能夠自動識別陌生電郵,下載次數已近二萬次,市民可通過警方的「守網者」網站進行下載。
此外,還推出了「防騙視伏器」及其手機版應用程式「防騙視伏App」,通過輸入電郵地址、電話號碼、網址等信息,即時評估詐騙風險。
為了提升全民數碼安全意識,警方於2021年8月推出了「守網者」一站式資訊平台,定期發布最新IT知識和騙案手法。
警方最後提醒市民不要開啟來歷不明的電郵
警方最後提醒市民,不要開啟來歷不明的電郵,此外,如果郵件要求提供個人資料或突然改變匯款要求,千萬不要輕易相信,應通過電郵以外的其他溝通渠道(如電話或當面確認)向寄件者核實, 並使用防騙視伏器或防騙視伏App、或撥打防騙易熱線18222諮詢。若懷疑已經受騙,應立即保存相關電郵和轉款記錄,並儘快報警。
