香港文匯報訊(記者 曾立本)去年首11個月香港警方共錄得187宗電郵騙案,絕大部分以針對企業為主,損失金額約1億元,對「中招」中小企財政構成嚴重影響。雖然在社會各界共同努力下,過去5年香港涉電郵騙案數字持續下跌,但警方前日(21日)公布「釣魚電郵演習2024」結果顯示,216間機構共37,220名職員參與者,在收到4封不同主題的模擬釣魚電郵中,有11.5%參與者最少點擊一條釣魚連結,甚至有參與者按下連結後再輸入個人資料,反映機構有必要強化內部員工的網絡安全意識培訓,減少點擊釣魚電郵的風險。
「釣魚電郵演習2024」,由網絡安全及科技罪案調查科與香港互聯網註冊管理有限公司(HKIRC)合辦、網絡安全企業科技壇國際(Fortinet)提供技術支持,邀請不同的機構和企業免費參與。演習吸引216間來自不同行業的機構參與,總參與人數創新高至37,220人,較前年186間機構及10,326人參與,增幅逾2.6倍。
演習由去年8月至12月進行,參與員工會在一個月內會收到4封不同主題、像真度極高的模擬釣魚電郵,包括「人事部門問卷調查」、「銀行帳戶安全警示」、「IT部門系統測試請求」及「視像會議邀請」,今次更添加新元素,會在其中兩封電郵內的連結加入資料輸入頁面,測試參加者會否在按下連結後再輸入個人資料;如果員工點擊電郵連結進入預設的網站,便會視為「上釣」,即是代表遭受到釣魚攻擊。
網絡安全及科技罪案調查科警司陳純青公布演習結果表示,釣魚連結點擊率最高的是「人事部門問卷調查」郵件,達到9.5%,相信原因是該電郵註明是由參加者的公司發出,並表示該問卷調查為強制性,因此參加者不虞有詐;其次是「銀行帳賬戶安全警示」及「IT部門系統測試請求」電郵,兩封電郵的點擊率分別為4.2%及3.1%,相信與「白領一族」經常收到由銀行及「IT」部門發出的電郵,因此對該類郵件的警愓相對較低。
香港互聯網註冊管理有限公司行政總裁黃家偉工程師表示,分析釣魚電郵演習結果,個人層面上有11.5%用戶點擊最少一封釣魚電郵,較前年15.4%下跌3.9%;而點率最少兩封及四封電郵的人數,亦有輕微下降。但從在公司層面,有超過77%的機構員工點擊了至最少一封釣魚電郵 ,較2023年上升15.7%;有 58.3%的機構員工點擊至最少兩封釣魚電郵,較2023年上升13.4%。他指出,雖然數字上升與每間機構的平均參與人數由前年56人增至去年172人有關,但以公司層面而言,點擊率同比增加,這可能反映某些機構內部員工的安全意識或培訓不足。
黃家偉強調,由於大型公司通常擁有更多員工,這可能導致更多的釣魚電郵被點擊,機構有必要強化員工的網絡安全意識培訓。此外,演習結果顯示在超過3,300名員工點擊釣魚電郵中,有超過330名員工於釣魚網站內上載資料;在真實環境中,假如騙徒得到人事部員工的姓名和電郵,便有機會利用資料進行更進一步和更可信的詐騙行為。他特別提出,數據顯示參與演習機構中,以銀行業和金融業員工點擊釣魚電郵較前年上升11.5%表現較差,製造業亦表現較前年上升約10%,認為這些行業需要特別注意,盡快提供合適的培訓,避免因為缺乏警覺性或對釣魚電郵的識別能力不足,而成為攻擊者的目標。
科技壇國際香港、澳門及蒙古區總經理馮家健表示,網絡釣魚仍然是全球三大網絡安全威脅之一,並且發現網絡犯罪分子正在利用先進的社交工程技術、AI生成內容和深度偽造技術,使釣魚攻擊更具說服力;特別在香港,針對金融服務和關鍵基礎設施行業的攻擊顯著增加。為應對挑戰,科技壇國際正透過多項舉措積極與香港社區合作,對於當前威脅,建議採取定期進行安全意識、培訓實施零信任架構及持續監控和威脅評估。
評論