釣魚電郵演習 六成企業有員工中招 日常工作習慣 「視像會議邀請」點擊率最高

【明報專訊】警方網絡安全及科技罪案調查科今年5至6月舉行「釣魚電郵演習」，186間企業逾萬名員工參與，警方發出5款模擬釣魚電郵，結果有六成企業有至少一名員工打開釣魚電郵「上釣」，其中點擊率最高的是「視像會議邀請」郵件。

186企業逾萬員工參與

今年5至6月，警方網絡安全及科技罪案調查科舉行「釣魚電郵演習2023」，有186間企業和10,326名員工參與，結果發現有15.6%，即1645名參加者至少點擊一封釣魚電郵，佔整體參加企業的61.6%，當中有475人開啟多於一封電郵連結。前年則有78.9%參與企業有員工點擊模擬釣魚電郵。

首5月騙案按年減五成

參與演習的員工在一個月內收到5封不同主題的模擬釣魚電郵，分別關於「訂閱AI聊天機械人服務」、「視像會議邀請」、「電郵帳戶身分驗證」、「外賣平台問卷調查」和「IT部門核實密碼請求」。當員工點擊電郵內附的連結並進入預設網站，便會被視為「上釣」，即遭受釣魚攻擊。

網罪科（網絡安全、法理鑑證及訓練）高級警司林焯豪提到，釣魚電郵點擊率最高的是「視像會議邀請」郵件，達7.3%，相信是因大部分員工在日常工作曾接收過視像會議連結電郵，故對有關電郵戒心較低。其次是「AI聊天機械人服務訂閱」和「IT部門核實密碼請求」電郵，點擊率同是5.6%。林焯豪指出，白領一族逐漸開始使用AI聊天機械人輔助日常工作，且對看似由公司內部發出郵件的戒心亦相對較低。

另外亦有人點擊「電郵帳戶身分驗證」及「外賣平台問卷調查」電郵連結，比率均有近4%（見表）。

今年首5個月，本港錄得71宗電郵騙案，較去年同期的155宗下跌超過五成。警方今年4月接報，一間有機食品公司主管秘書收到一封假扮由其上司發出的電郵，要求將780萬元從兩個本地戶口分5次匯出至其他戶口，轉帳後與上司聯絡始知被騙報案。警方其後發現涉事主管的電郵系統遭黑客入侵，導致泄露與客戶交易內容。

電郵地址難分辨 留意1l0O

網罪科網絡情報組高級督察吳柏慧提醒，電郵騙案多會假冒市民身邊認識的人，例如上司、生意伙伴甚至子女暑期補習班導師，然後以近似的電郵地址發出電郵。吳提醒，除不要點擊來歷不明的電郵外，發件人的電郵地址通常會有異樣，常用手法包括將數字「1」寫成L的小寫「l」，或以數字「0」換成英文「O」，市民可用桌面電腦的滑鼠浮標停在電郵地址或連結上，查看完整電郵地址或連結，以辨別電郵真偽。