HKIRC与香港警务处携手合办《钓鱼电邮演习2023》 | Hong Kong Internet Registration Corporation Limited
新闻发佈

HKIRC与香港警务处携手合办《钓鱼电邮演习2023》

2023-08-02

HKIRC与香港警务处携手合办《钓鱼电邮演习2023》
逾万雇员参与创新高 提升业界网络安全意识

2023年8月2日,香港 – 香港互联网注册管理有限公司(HKIRC)联同香港警务处网络安全及科技罪案调查科合作举办的「钓鱼电邮演习2023」已经完满结束。日前于警察总部警政大楼举行发布会,分享演习的成果。是次演习是首次由HKIRC及警方携手合办,参与的机构数量和员工人数都得以提高,计划规模较去年增加近两倍,共有185机构,共10,326名员工参与演习,特别是得到中小企的积极参与,显示有效提升业界的关注,令人鼓舞。

(左起)中国移动香港有限公司董事兼行政总裁李帆风、香港互联网注册管理有限公司行政总裁黄家伟、网络安全及科技罪案调查科(网络安全、法理鉴证及训练)高级警司林焯豪、网络安全及科技罪案调査科(网络情报组)高级督察吴柏慧(右)指尽管业界和社会大众防范钓鱼电邮的意识提高,但不能因此掉以轻心。

HKIRC行政总裁黄家伟工程师指出:「对于能够令演习的参与人数倍增,我们感到非常满意,反映出推广和宣传工作取得了积极效果。过去,HKIRC一直致力推动香港成为一个更安全的互联网环境,并与警方及其他合作伙伴定期举办网络安全研讨会。单在去年,HKIRC所推出的『网络安全员工培训平台』(Cybersec Training Hub),为中小企提供免费网上资源,协助机构提升员工的网络安全意识,在短短一年间已成功培训超过8万位用户。」

一成六参加者点击钓鱼电邮 「视像会议邀请」最易令人上当
参与是次演习的机构员工,会在一个月内收到共五封不同主题的仿真钓鱼电邮,包括「订阅AI聊天机械人服务」、「视像会议邀请」、「电邮账户身分验证」、「外卖平台问卷调查」及「IT部门核实密码请求」,参加者如果点击了电邮连结进入预设的网站,便会视为「上钓」,即是遭受钓鱼攻击。当中有近一成六的参加者点击了至少一封电邮连结,而在这些参加者中,有近三成开启了多于一封电邮的链接,显示他们在网络安全意识方面还有进一步提升的空间;而在机构层面方面上,185间参与演习的机构中,有六成一的机构至少有一名员工点击了电邮连结。

而在是次演习中,点击率最高的电邮是「视像会议邀请」邮件,达到7.3%。网罪科高级警司林焯豪指:「相信大部分参加者的日常工作也会接收视像会议连结的电邮,对有关电邮戒心较低;其次是『订阅AI聊天机械人』及『IT部门核实密码请求』电邮,两封电邮的点击率同样是5.6%。这也不难理解,白领一族逐渐开始使用AI聊天机械人辅助日常工作,而他们对看似由公司内部发出的邮件的戒心也相对较低。」

电邮骗案数字持续滑落 基层高层均不宜松懈
根据警方公布的数字,过去五年,本港电邮骗案数字持续下降,由2018年894宗案件辗转回落至去年391宗(-56%),损失亦由2019年顶峰的 $25.3亿元大幅减少七成至去年$7.5亿元。而今年首5个月,电邮骗案数字继续滑落,录得共71宗案件,比去年同期155宗下跌超过一半(-54.2%),损失更大幅减少近九成至$5000万元。

黄家伟续称:「尽管是次演习的表现有所改善,我们还是需要继续努力,六成一的机构受到仿真网络钓鱼攻击显示仍然有很大的进步空间,因此我们还需要借着钓鱼演习等来提醒中小企。」从是次演习的结果可见,基层员工普遍认为他们所持有的数据并不重要,网络安全只是属于高层的责任,然而,黑客向来取易不取难,攻击者可能透过基本员工的账户潜伏,慢慢扩大攻击范围,偷取其他机密数据。

事实上,骗徒往往会从大家的日常生活中着手,例如近期常见的钓鱼短讯。在发布会上,中国移动香港有限公司董事兼行政总裁的李帆风先生就分享道:「公司现时会根据警方分享可疑网页列表,在用户点击相关链接时会发出提醒。但单计公司旗下用户在上星期的数据显示,列表上4千多个网页平均每日都有超过100万次的访问次数,情况较想象中更为严峻。」

黄家伟总结指:「面对日新月异的钓鱼攻击,要做好防御工作,需要每个人都主动多走一步。不仅只是高层,更是全公司员工的责任,尤其面对钓鱼攻击的『零信任原则』不可忽视,建议机构提供或寻找培训来加强对基本员工的网络安全意识培训,在入职时给予培训及每年定期重温。透过这些培训,员工可以学习如何辨识钓鱼邮件,如何报告可疑的邮件或行为,以及如何遵守『零信任原则』,提高员工的警觉性和安全意识。」

HKIRC推免费培训平台 助业界认识网络安全
HKIRC推出的Cybersec Training Hub为一个免费培训平台,用户只需记住简易网址 cyberhub.hk ,即可为员工灵活安排接受培训时间,例如入职时便可以依照平台的指引进行自助培训。培训平台的内容趣味性与实用性兼备,并且有本地数据和案例,贴近现实工作环境,确保员工获得最基本的网络安全意识和技能。此外,该平台的培训内容设计得非常易于理解,即使是没有IT技能背景的员工也能参与。

通过Cybersec Training Hub的培训,员工可以进行小测试,测试完成并且合格后,便可获得电子证书乙张。电子证书有助于企业评估员工的网络安全认知和技能,增强企业维护网络安全的信心。此外,透过这样的培训平台,企业可以扩大员工受培训基数,从最根本的源头做起,保障公司的网络安全。

-完-

关于香港互联网注册管理有限公司
港互联网注册管理有限公司 (HKIRC) 为香港特别行政区政府指定的非利润分配、非法定担保有限公司,专责从事香港地区顶级域名 (即 .hk及.香港) 的行政工作。HKIRC所提供的域名登记类别包括英文的.com.hk、.org.hk、 .net.hk、.edu.hk、.gov.hk、.idv.hk、.hk,及中文的.公司.香港、.组织.香港、.网络.香港、.教育.香港、.政府.香港、.个人.香港、.香港,和将会在香港推出其他相关域名的服务

传媒联络
香港互联网注册管理有限公司
市场推广部
电话:+852 2319 3835
电邮: marketing@hkirc.hk