HKIRC与香港警务处及数字政策办公室携手合办《「钓尔轻心」社交工程演习 2025》 | Hong Kong Internet Registration Corporation Limited
新闻发佈

HKIRC与香港警务处及数字政策办公室携手合办《「钓尔轻心」社交工程演习 2025》

2026-04-17

HKIRC与香港警务处及数字政策办公室

携手合办《「钓尔轻心」社交工程演习 2025》

逾5.3万名员工参与创新高 涵盖电邮及短讯 提升业界网络安全意识

 

香港互联网注册管理有限公司(HKIRC)联同香港警务处网络安全及科技罪案调查科(CSTCB)及数字政策办公室(DPO)合作举办的《「钓尔轻心」社交工程演习 2025》已圆满结束。 主办方较早前于警察总部举行成果发布会,分享演习结果及分析业界最新网络安全趋势。 是次演习已踏入第三年,参与机构数目及员工人数再创新高,当中「钓鱼电邮演习」共吸引超过300间机构参与,超过53,000名雇员参加,较去年增加超过40%,反映业界普遍重视提升员工网络安全意识,并积极透过演习强化防御能力。 今年演习新增《钓鱼短讯演习》项目,共有超过30间机构,超过3,600人参与。 演习涵盖机构提供的公司手提电话号码,但不包括员工个人电话号码。

2026年4月10日于警察总部:香港互联网注册管理有限公司行政总裁黄家伟(右)、网络安全及科技罪案调查科署理高级警司许绮惠(中)、总督察梁以德(左)

钓鱼电邮演习结果模拟钓鱼点击率上升 近半员工未能及时察觉风险
根据演习结果,今年有13.4%的员工曾点击最少一条模拟钓鱼电邮链接,较去年上升1.9%。 值得关注的是,在曾点击钓鱼电邮链接的员工中,接近一半未能即时察觉潜在风险,并继续进行相关操作,包括上载资料或下载档案,进一步增加敏感资料外泄的风险,建议员工看到可疑链接时先向官方渠道二次核实。

钓鱼情境越贴近日常工作越难防范
演习中,参与者共收到四封模拟钓鱼电邮,主题涵盖「IT部门礼品赠送」、「网盘文件下载通知」、「人事部门问卷调查」及「更新系统安全警示通知」。 点击行为分析显示,含有优惠、限时等字眼的电邮,较容易诱使收件人在未经深思的情况下点击链接。
此外,与日常办公流程高度相似的主题,亦显著降低员工戒心,增加回应的可能性。 结果反映,当钓鱼电邮情境贴近日常工作时,员工更难即时辨识潜在风险,凸显持续保持警觉及培养「零信任」安全意识的重要性。 员工应将所有电邮与连结视为潜在风险,避免预设其可信度,才能有效降低风险。

管理层在模拟钓鱼测试点击率高于员工 钓鱼攻击威胁加剧
HKIRC 行政总裁黄家伟工程师表示,随着网络攻击手法日益频繁及精密,钓鱼电邮已成为企业面临的重大网络安全威胁之一,而受害对象不仅限于一般员工,管理层同样存在高风险。 数据显示,经理级或以上人员的点击率为15.5%,高于一般员工的13%,提醒管理层同样需要定期培训,以身作则。 黄家伟强调,管理层在机构内担当关键决策角色,其电邮帐号往往拥有较高系统权限,并能接触敏感及具影响力的资料,一旦帐号被入侵,对机构带来的风险及影响将更为严重。

近九成机构至少一人点击模拟钓鱼电邮链接 中小企风险显著上升
从机构层面分析,在本次演习的机构内,有89%(268间)至少有一名员工曾点击钓鱼电邮链接,较去年77%上升12%,增幅主要来自中小企。 虽然相关数据会因企业规模及参与人数而有所差异,但结果再次反映钓鱼电邮仍然是最容易令人「中招」的网络攻击手段之一。
因此,机构有必要持续为员工提供网络安全意识培训,切勿掉以轻心。 网络安全安全事故不仅可能威胁企业的数据安全,更可引致财务损失及品牌信誉受损。 透过持续教育与训练,确保员工能识别可疑电邮并采取适当行动,才能从整体上提升防御能力。

全港首次模拟钓鱼短讯演习结果
今次演习的「钓鱼短讯演习」是全港首次举办的同类型演习,透过向参与机构的员工公司号码发送模拟钓鱼短讯,评估员工在面对流动通讯渠道时的警觉性及应对能力。结果显示,有5.9%的员工点击了至少一条模拟钓鱼短讯链接,并且70%的机构至少有一名员工曾点击模拟钓鱼短信链接。虽然模拟钓鱼短讯的整体点击率为5.9%,低于钓鱼电邮的13.4%,但这并不代表钓鱼短讯的风险可以忽视。 与电邮相比,短讯内容通常更简短,能提供的信息有限,员工难以获取足够线索作进一步核实; 同时,短讯的发件人身份显示有限,来源真伪更难辨识,进一步增加了受骗的风险,提醒员工遇到可疑链接时,务必透过官方渠道再次验证,以降低风险。

由上而下推行「零信任」文化
黄家伟总结时表示:「面对钓鱼攻击,不论透过任何渠道,网络安全是由上而下、全公司共同承担的责任。 企业必须坚守’零信任原则’,不能掉以轻心,并透过每年的定期培训及重温,让员工学会如何识别钓鱼邮件,以及正确的举报流程,从而提升整体警觉性及安全意识。」

HKIRC 推出 Cybersec Training Hub,为企业及机构提供免费的网络安全培训平台。 课程设计贴近日常工作场景,内容实用,帮助员工建立基本的网络安全知识与技能。 完成测试并达到合格要求的学员可获电子证书,协助企业评估员工的安全认知水平,并增强对整体防护能力的信心。 透过 Cybersec Training Hub,企业能扩大培训覆盖范围,从源头加强防御,为长远的网络安全奠定稳固基础。

Cybersec Training Hub 平台重点
• 完全免费:所有培训课程均可免费参加。
• 无需技术背景:适合所有员工,无论是否具备 IT 专业知识。
• 贴近工作情境:课程设计以日常工作场景为基础,实用性高。
• 电子证书:完成测试并达到合格要求即可获发证书,方便企业评估员工安全认知水平。
• 持续更新:培训内容会不断更新,涵盖最新的网络安全议题。

官方網站參加培訓:Cybersec Training Hub
透过这个平台,企业能扩大培训覆盖范围,确保每位员工都具备基本的网络安全知识,为公司长远的防护能力奠定稳固基础。

另外,为提高企业整体防护能力,可参加由 DPO,HKIRC 与 国际信息系统审计协会中国香港分会 (ISACA)合办的「共建员工防火墙」嘉许计划。 此计划旨在推动企业建立人力防火墙,全面提升员工的网络安全意识。 参与机构可获不同级别的认可奖座,彰显其在培训与防护上的努力,并向外界展示企业在网络安全上的承担与决心。
参与机构需在过去 12 个月内达到以下条件:
• 员工培训:至少 50% 员工完成网络安全培训(如 Cybersec Training Hub)。
• 钓鱼演习:员工至少参与一次钓鱼电邮演习。
• 政策架構:建立全面的網絡安全政策,涵蓋遠程工作、AI 使用指引等。
• 报告渠道:设立有效途径,让员工能举报可疑或恶意电邮。
• 信息共享:积极参与网络安全信息共享平台(如 Cybersec Infohub)。
• 风险评估:每年至少进行一次网络安全风险评估。

立即参加: 「共建员工防火墙」嘉许计划

– 完 –

关于香港互联网注册管理有限公司
香港互联网注册管理有限公司 (HKIRC) 为香港特别行政区政府指定的非利润分配、非法定担保有限公司,专责从事香港地区顶级域名 (即 .hk及.香港) 的行政工作。HKIRC所提供的域名登记类别包括英文.com.hk、.org.hk、.net.hk、.edu.hk、.gov.hk、.idv.hk、.hk,及中文的.公司.香港、.组织.香港、.网络.香港、.教育.香港、.政府.香港、.个人.香港、.香港,并且将会在香港推出其他相关域名的服务。

媒体联络:
香港互联网注册管理有限公司
市场推广及传讯部
电话: 2319 3835
电邮: marketing@hkirc.hk