企業防「釣」意識不足 人事部郵件最難辨
去年首11個月香港警方共錄得187宗電郵騙案,絕大部分以針對企業為主,損失金額約1億元。雖然過去5年香港電郵騙案數字持續下跌,但由警方前日公布的「釣魚電郵演習2024」結果顯示,216間機構共37,220名參與者,在收到4封不同主題的模擬釣魚電郵中,有11.5%參與者最少點擊一條釣魚連結,當中又以「人事部門問卷調查」釣魚郵件最難辨識,最多人中招。
演習由去年8月至12月進行,今次更添加新元素,在其中兩封電郵內的連結加入資料輸入頁面,測試參加者在按下連結後會否再輸入個人資料;只要員工點擊連結進入預設網站,便代表遭受到釣魚攻擊。
網絡安全及科技罪案調查科警司陳純青表示,結果顯示釣魚連結點擊率最高的是「人事部門問卷調查」郵件,達到9.5%,相信因電郵註明是參加者的公司發出並表示問卷屬強制性,令參加者不虞有詐;其次是「銀行賬戶安全警示」及「IT部門系統測試請求」電郵,兩封電郵的點擊率分別為4.2%及3.1%,相信與白領一族經常收到由銀行及IT部門發出的電郵,因此對該類郵件警惕相對較低。
香港互聯網註冊管理有限公司行政總裁黃家偉表示,在公司層面,有超過77%機構員工點擊至少一封釣魚電郵 ,較前年上升15.7%;點擊至少兩封釣魚電郵有58.3%,上升13.4%,反映某些機構內部員工的安全意識或培訓不足。他特別提出,參與機構中以銀行、金融及製造業表現較差,認為這些行業應盡快提供合適培訓,避免成為攻擊者目標。
