HKIRC與香港警務處攜手合辦《釣魚電郵演習2023》

逾萬僱員參與創新高 提升業界網絡安全意

香港2023年8月2日 /美通社/ — 香港互聯網註冊管理有限公司(HKIRC)聯同香港警務處網絡安全及科技罪案調查科合作舉辦的「釣魚電郵演習2023」已經完滿結束。日前於警察總部警政大樓舉行發布會,分享演習的成果。是次演習是首次由HKIRC及警方攜手合辦,參與的機構數量和員工人數都得以提高,計劃規模較去年增加近兩倍,共有185機構,共10,326名員工參與演習,特別是得到中小企的積極參與,顯示有效提升業界的關注,令人鼓舞。


(左起)中國移動香港有限公司董事兼行政總裁李帆風、香港互聯網註冊管理有限公司行政總裁黃家偉、網絡安全及科技罪案調查科(網絡安全、法理鑑證及訓練)高級警司林焯豪、網絡安全及科技罪案調査科(網絡情報組)高級督察吳柏慧(右)指儘管業界和社會大眾防範釣魚電郵的意識提高,但不能因此掉以輕心。

HKIRC行政總裁黃家偉工程師指出:「對於能夠令演習的參與人數倍增,我們感到非常滿意,反映出推廣和宣傳工作取得了積極效果。過去,HKIRC一直致力推動香港成為一個更安全的互聯網環境,並與警方及其他合作伙伴定期舉辦網絡安全研討會。單在去年,HKIRC所推出的『網絡安全員工培訓平台』(Cybersec Training Hub),為中小企提供免費網上資源,協助機構提升員工的網絡安全意識,在短短一年間已成功培訓超過8萬位用戶。」

一成六參加者點擊釣魚電郵 「視像會議邀請」最易令人上當

參與是次演習的機構員工,會在一個月內收到共五封不同主題的模擬釣魚電郵,包括「訂閱AI聊天機械人服務」、「視像會議邀請」、「電郵帳戶身分驗證」、「外賣平台問卷調查」及「IT部門核實密碼請求」,參加者如果點擊了電郵連結進入預設的網站,便會視為「上釣」,即是遭受釣魚攻擊。當中有近一成六的參加者點擊了至少一封電郵連結,而在這些參加者中,有近三成開啟了多於一封電郵的連結,顯示他們在網絡安全意識方面還有進一步提升的空間;而在機構層面方面上,185間參與演習的機構中,有六成一的機構至少有一名員工點擊了電郵連結。

而在是次演習中,點擊率最高的電郵是「視像會議邀請」郵件,達到7.3%。網罪科高級警司林焯豪指:「相信大部分參加者的日常工作也會接收視像會議連結的電郵,對有關電郵戒心較低;其次是『訂閱AI聊天機械人』及『IT部門核實密碼請求』電郵,兩封電郵的點擊率同樣是5.6%。這也不難理解,白領一族逐漸開始使用AI聊天機械人輔助日常工作,而他們對看似由公司內部發出的郵件的戒心也相對較低。」

電郵騙案數字持續滑落 基層高層均不宜鬆懈

根據警方公布的數字,過去五年,本港電郵騙案數字持續下降,由2018年894宗案件輾轉回落至去年391宗(-56%),損失亦由2019年頂峰的 $25.3億元大幅減少七成至去年$7.5億元。而今年首5個月,電郵騙案數字繼續滑落,錄得共71宗案件,比去年同期155宗下跌超過一半(-54.2%),損失更大幅減少近九成至$5000萬元。

黃家偉續稱:「儘管是次演習的表現有所改善,我們還是需要繼續努力,六成一的機構受到模擬網絡釣魚攻擊顯示仍然有很大的進步空間,因此我們還需要藉著釣魚演習等來提醒中小企。」從是次演習的結果可見,基層員工普遍認為他們所持有的數據並不重要,網絡安全只是屬於高層的責任,然而,黑客向來取易不取難,攻擊者可能透過基本員工的帳戶潛伏,慢慢擴大攻擊範圍,偷取其他機密數據。

事實上,騙徒往往會從大家的日常生活中著手,例如近期常見的釣魚短訊。在發布會上,中國移動香港有限公司董事兼行政總裁的李帆風先生就分享道:「公司現時會根據警方分享可疑網頁列表,在用戶點擊相關連結時會發出提醒。但單計公司旗下用戶在上星期的數據顯示,列表上4千多個網頁平均每日都有超過100萬次的訪問次數,情況較想像中更為嚴峻。」

黃家偉總結指:「面對日新月異的釣魚攻擊,要做好防禦工作,需要每個人都主動多走一步。不僅只是高層,更是全公司員工的責任,尤其面對釣魚攻擊的『零信任原則』不可忽視,建議機構提供或尋找培訓來加強對基本員工的網絡安全意識培訓,在入職時給予培訓及每年定期重溫。透過這些培訓,員工可以學習如何辨識釣魚郵件,如何報告可疑的郵件或行為,以及如何遵守『零信任原則』,提高員工的警覺性和安全意識。」

HKIRC推免費培訓平台 助業界認識網絡安全

HKIRC推出的Cybersec Training Hub為一個免費培訓平台,用戶只需記住簡易網址cyberhub.hk,即可為員工靈活安排接受培訓時間,例如入職時便可以依照平台的指引進行自助培訓。培訓平台的內容趣味性與實用性兼備,並且有本地數據和案例,貼近現實工作環境,確保員工獲得最基本的網絡安全意識和技能。此外,該平台的培訓內容設計得非常易於理解,即使是沒有IT技能背景的員工也能參與。

通過Cybersec Training Hub的培訓,員工可以進行小測試,測試完成並且合格後,便可獲得電子證書乙張。電子證書有助於企業評估員工的網絡安全認知和技能,增強企業維護網絡安全的信心。此外,透過這樣的培訓平台,企業可以擴大員工受培訓基數,從最根本的源頭做起,保障公司的網絡安全。

關於香港互聯網註冊管理有限公司

香港互聯網註冊管理有限公司 (HKIRC) 為香港特別行政區政府指定的非利潤分配、非法定擔保有限公司,專責從事香港地區頂級域名 (即 .hk及.香港) 的行政工作。HKIRC所提供的域名登記類別包括英文的.com.hk、.org.hk、 .net.hk、.edu.hk、.gov.hk、.idv.hk、.hk,及中文的.公司.香港、.組織.香港、.網絡.香港、.教育.香港、.政府.香港、.個人.香港、.香港,和將會在香港推出其他相關域名的服務。