警測釣魚電郵 邀視像易上釣
對公司內部文件戒心低 六成員工中招
香港今年首5個月「釣魚電郵」騙案數字雖呈下降趨勢,但潛在上釣者仍大有人在。警方網絡安全及科技罪案調查科今年5至6月第三度舉辦「釣魚電郵」演習,發現參與測試的186間公司,有約六成即114間的員工點擊「釣魚電郵」鏈結,而點擊率最高為「視像會議邀請」,其次為「訂閱AI聊天機械人服務 」和「IT部門核實密碼請求 」。結果顯示員工警惕性雖較兩年前有進步,但部分機構有逾半員工網絡安全意識較低,而全球絕大部分騙案仍主要針對企業,籲員工不可掉以輕心。
網罪科高級警司林焯豪介紹指,該部門自2021年開始舉辦「釣魚電郵」演習,今年共有186間公司參加,員工會先後收到5封模擬的「釣魚電郵」,如點擊電郵提供的超鏈結,進入預設網頁即視為「上釣」。由於公司員工會經常收到視像會議邀請、使用AI聊天機械人輔助工作,以及對公司內部電郵戒心較低,較容易受「釣魚電郵」攻擊,故該5封電郵模擬了上述內容。
香港互聯網註冊管理有限公司行政總裁黃家偉表示,186間公司合共10,326名參與者中,有1,645人(約15.9%)曾點擊「釣魚電郵」,當中114間公司至少有一名員工曾點擊,並有475人(28.9%)曾開啟多於一封鏈結。測試結果顯示,點擊率最高為「視像會議邀請」,共佔7.3%,其次為「訂閱AI聊天機械人服務 」和「IT部門核實密碼請求 」,各佔5.6%。
他指出,在今次演習中,公司點擊率為61.6%,雖然比前年約78.9%有所下跌,但部分機構有超過一半員工「上釣 」,尤以基層職員的網絡安全意識較低,當黑客發現有關漏洞時就會向其竊取機密文件,而非只襲擊高層員工,因此基層員工的防範意識仍有改善空間。
首5個月騙案較同期減少逾半
林焯豪表示,今年首5個月相關騙案數字有滑落,僅錄得71宗個案,較去年同期的155宗下跌超過一半,損失金額亦從去年首5個月的4.1億元暴跌近九成,至今年同期約5,000萬元。他解釋,數字下跌主要有三個原因,一是過濾電郵技術提升,有效阻隔大部分問題電郵,而市民現在收到的相關郵件只是「漏網之魚」;二是公眾意識提高,警方與工商業界多年來進行多項針對性宣傳教育,透過「釣魚電郵」演習、推出可疑電郵偵測系統,讓市民對騙徒提高警覺;三是銀行提高開設公司戶口的審查要求,防止騙徒假冒公司合作夥伴或高層職員,利用各種藉口欺騙員工將款項存入詐騙戶口。
他指出,全球絕大部分騙案針對企業的情況仍未有放緩跡象,警方今年4月曾接獲報案,一間有機食品公司的秘書收到「高層 」電郵,要求將款項存入其他賬戶,秘書信以為真,將780萬元款項分5次匯入騙徒戶口。網罪科因此推出網上防騙工具,包括與香港大學共同研發的免費可疑電郵偵測系統「e-GUARD」,如系統發現可疑郵件,會將其轉移至垃圾郵箱及發紅色警示。
中國移動香港董事兼行政總裁李帆風表示,警方每天會在黑名單內更新詐騙網址及鏈結,當客戶進入可疑網頁,系統會即時進行自動攔截,每天攔截逾100萬次點擊。下一步他們或再提升系統,在客戶與騙徒接觸前作出提醒,減低客戶受騙機會。
