「釣魚電郵演習」逾7成企業有員工中招 人事問卷主題最易引人上釣

警方與香港互聯網註冊管理有限公司（HKIRC）去年舉辦「釣魚電郵演習2024」，今公布測試結果，顯示超過七成的參予員工點擊釣魚電郵，其中點擊率最高的主題為「人事部門問卷調查」。

Fortinet香港、澳門及蒙古區總經理馮家健（左）網絡安全及科技罪案調查科網絡安全組警司陳純青（中）及香港互聯網註冊管理有限公司行政總裁黃家偉（右）

逾七成公司有員工點擊過「釣魚電郵」

警務處網罪科聯同香港互聯網註冊管理有限公司（HKIRC）去年8至12月舉辦「釣魚電郵演習2024」，216間企業共37220名員工參與，其中逾七成，即共167間公司、4285名員工點擊過最少一封「釣魚電郵」。

網絡安全及科技罪案調查科網絡安全組警司陳純青介紹，警務處網罪科自2021年開始舉辦「釣魚電郵」演習，今年更添新元素，於其中兩封電郵內的連結加入資料輸入頁面，測試參加者會否在按下連結後再輸入個人資料。

他續指，今年參與人數較去年增加2.6倍。參與演習的員工會先後收到4封不同主題的模擬釣魚電郵，分別關於「人事部門問卷調查」、「銀行賬戶安全警示」、「IT部門系統測試請求」和「視像會議應用更新」。當員工點擊電郵內附連結並進入預設網站，便會被視為「上釣」，即遭受釣魚攻擊。

今年共有216間企業，37220名員工參與，其中有4285人曾點擊過「釣魚電郵」，且167間公司中至少有一名員工曾點擊過該郵件。

演習結果顯示，點擊率最高的主題是「人事部門問卷調查」，占總點擊率的9.5%。其次是「銀行賬戶安全警示」，佔4.2%，以及「IT部門系統測試請求」，佔3.1%。而點擊率最低的主題是「視像會議應用更新」，僅佔3.0%。

330人在釣魚網站提供個人資料

另外，逾7成參與者曾開啟多於一封電郵的連結，而逾一成的參與者更點擊了全部四封釣魚電郵。

值得注意的是，在「人事部門問卷調查」的釣魚電郵中，超過3300名員工點擊了釣魚連結，其中超過330人在釣魚網站上提供了個人資料，結果反映出機構內部員工的安全意識或培訓仍存在不足之處。

點擊率最高的主題是「人事部門問卷調查」，佔總點擊率的9.5%

Fortinet香港、澳門及蒙古區總經理馮家健表示，電郵依然是全球最關鍵威脅媒介，特別是針對金融服務和關鍵基礎設施的攻擊，佔所有攻擊的是70%以上；其次就是垃圾郵件，在所有電子郵件裡，每5封中就有1封垃圾郵件，佔19％；第三外洩攻擊，自2022年以來，社會工程機商業電郵外洩攻擊增加了1700％。

面對網絡釣魚問題，他建議企業需定期進行安全意識培訓；其次，實施多層信任架構，增強系統的安全性；最後進行持續的監控和威脅評估，及時發現並應對潛在風險。

電郵依然是全球最關鍵威脅媒介，其中網絡釣魚仍是全球三大網絡安全的威脅之一。

陳純青表示，香港電郵騙案數字過去5年呈持續下降態勢。從2019年的816宗案件回落至2023年的208宗，損失金額也從2019年的高峰25.3億港元大幅減少九成至2023年的1.6億港元。2024年首11個月，電郵騙案數字繼續輕微下跌，共錄得187宗案件，比2023年同期減少約2宗，損失金額則降至約1.6億港元，比2023年同期減少約35%。絕大部分電郵騙案仍以企業為主要目標。

然而，全球電郵騙案仍十分猖獗，每天約有34億封詐騙釣魚電郵產生，平均每人大約每兩天會收到1封詐騙電郵。

香港電郵騙案數字過去5年呈持續下降態勢

他續指，儘管電郵騙案數字下降，但公眾不能鬆懈對可疑電郵的警惕。以2024年首11個月的187宗電郵騙案為例，平均每宗案件的損失仍高達55萬港元。去年更有一宗電郵騙案涉及高達1634萬元虛擬貨幣。

網罪科一直致力於舉辦各類活動，與業界共同抵禦科技罪案的威脅，2025年首季，網罪科將舉辦名為「守網季」的網絡安全運動，通過線上和線下活動來推廣全民數碼安全和防騙訊息。今年「守網季」主題是「守網聯盟」，希望透過與不同政府部門、公營機構以及私人公司合作，從多個途徑宣揚防騙訊息，並推動一系列措施對抗日新月異的科技罪案。

針對辨別可疑電郵，陳表示只需留意幾個簡單的細節。首先，檢查發件人的電郵地址是否有異常，如將字母「L」寫成「1」，或將「O」寫成「0」。其次，關注電郵內容是否存在文法或拼寫錯誤。

此外，檢查電郵中的商標是否為舊版本，圖像的分辨率是否過低，或圖像比例是否異常。最後，將桌面電腦的滑鼠指針停在電郵地址或連結上，即可顯示完整的地址或連結，幫助判斷其真實性。

針對辨別可疑電郵，只需留意幾個簡單的細節

為協助香港中小企業識別可疑電郵，警方網罪科與香港大學於2023年初推出了「衛郵計劃」（Project e-GUARD），研發可疑電郵偵測軟件V@nguard。能夠自動識別陌生電郵，下載次數已近二萬次，市民可通過警方的「守網者」網站進行下載。

此外，還推出了「防騙視伏器」及其手機版應用程式「防騙視伏App」，通過輸入電郵地址、電話號碼、網址等信息，即時評估詐騙風險。

為了提升全民數碼安全意識，警方於2021年8月推出了「守網者」一站式資訊平台，定期發布最新IT知識和騙案手法。

警方最後提醒市民不要開啟來歷不明的電郵

警方最後提醒市民，不要開啟來歷不明的電郵，此外，如果郵件要求提供個人資料或突然改變匯款要求，千萬不要輕易相信，應通過電郵以外的其他溝通渠道（如電話或當面確認）向寄件者核實， 並使用防騙視伏器或防騙視伏App、或撥打防騙易熱線18222諮詢。若懷疑已經受騙，應立即保存相關電郵和轉款記錄，並儘快報警。

紐約市（美聯社）— 聯邦檢察官表示，每年節日季節都會讓紐約市（New York City）充滿身穿聖誕老人服飾的醉酒年輕人的「聖誕老人巡遊」（SantaCon）活動，其主辦人竟是現實版「聖誕怪傑」。

活動主辦人史提芬皮爾德斯（Stefan Pildes）周三被捕，他被控涉嫌在2019年至2024年間，從聖誕老人巡遊活動聲稱籌得的270萬美元善款中，私吞大部分。

根據起訴書，原本應分配予社區慈善機構的款項，卻被用於翻新新澤西州（New Jersey）一處湖畔物業、購買演唱會門票、支付其豪華汽車費用，以及資助在夏威夷（Hawaii）和拉斯維加斯（Las Vegas）的奢華餐飲及豪華假期。

50歲、來自新澤西州休伊特（Hewitt）的皮爾德斯，在曼哈頓（Manhattan）法院就電匯詐騙罪出庭後離開時，未有回應記者的提問。

檔案圖片：狂歡者於2024年12月14日在紐約參與聖誕老人大會。(美聯社圖片/Julia Demaree Nikhinson 檔案照) AP圖片

這項年度聖誕老人巡遊狂歡活動，因其為城市街道和地鐵帶來混亂而廣受許多紐約居民詬病。每年，數千名裝扮者湧入曼哈頓街頭及酒吧，大部分人打扮成聖誕老人，亦不乏聖誕婆婆、精靈，甚至偶爾出現聖誕怪傑。

許多參與者支付10至20美元購買門票，主辦方堅稱這些款項將用於慈善。

該活動起源於1994年在三藩市（San Francisco）舉行的一場快閃活動，名為「聖誕無政府狀態」（Santarchy），旨在諷刺聖誕消費主義。隨著這個概念傳播至全國各地城市，它逐漸脫離了其反文化根源，演變成一場大規模的酒吧巡遊。

紐約市的版本現時被宣傳為「一場慈善、非政治、荒誕的聖誕老人大會」。

主辦方亦嘗試透過制定「聖誕老人守則」，以改善活動因醉酒失當行為而受損的聲譽。

其中一條守則寫道：「聖誕老人傳播歡樂：而非恐懼、嘔吐物或垃圾。你希望這些東西出現在你的聖誕樹下嗎？」另一條則告誡參與者切勿隨地小便、打架、堵塞街道、攀爬汽車或破壞財物——這些都是多年來曾出現的問題。

隨著公職人員多年來向主辦方施壓，要求他們改善行為，聖誕老人巡遊活動便強調其慈善工作，宣傳門票銷售所得款項將捐贈予扶貧團體、食物銀行、城市公園及藝術基金會。

根據起訴書，皮爾德斯聲稱他沒有收取任何報酬。

起訴書指，他曾在2023年3月發給一個潛在場地的電郵中寫道：「沒有任何製作人從此活動中獲得收入，這是一個慈善活動。」

然而，當局指出，皮爾德斯以30萬美元保釋金獲釋，他每年將逾半收益挪用至他控制的一個實體，並將這些資金用於個人開支。

這些開支包括36.5萬美元用於翻新湖畔物業、12.4萬美元用於租賃曼哈頓豪華公寓、10萬美元投資於由私人朋友在哥斯達黎加（Costa Rica）創辦的精品度假村，以及在曼哈頓一間米芝蓮星級餐廳享用近3,000美元的生日晚宴。

聯邦檢察官杰克萊頓（Jay Clayton）在新聞稿中指出：「他沒有捐出籌得的數百萬美元，反而玩弄自己的騙局。」

當局表示，皮爾德斯擔任參與式安全公司（Participatory Safety Inc.）的總裁並控制該非牟利實體，該公司負責組織聖誕老人巡遊活動。

根據起訴書，他招攬了數十間酒吧和餐廳參與，並要求他們將10%至25%的餐飲銷售額捐贈予其慈善機構。

（美聯社）