HKIRC與香港警務處及數字政策辦公室攜手合辦《「釣爾輕心」社交工程演習 2025》
逾5.3萬名員工參與創新高 涵蓋電郵及短訊 提升業界網路安全意識 香港2026年4月17日 /美通社/ — 香港網際網路註冊管理有限公司(HKIRC)聯同香港警務處網路安全及科技罪案調查科(CSTCB)及數字政策辦公室(DPO)合作舉辦的《「釣爾輕心」社交工程演習 2025》已圓滿結束。主辦方較早前於警察總部舉行成果發布會,分享演習結果及分析業界最新網路安全趨勢。是次演習已踏入第三年,參與機構數目及員工人數再創新高,當中「釣魚電郵演習」共吸引超過300間機構參與,超過53,000名僱員參加,較去年增加超過40%,反映業界普遍重視提升員工網路安全意識,並積極透過演習強化防禦能力。今年演習新增「釣魚短訊演習」專案,共有超過30 間機構,超過3,600人參與。演習涵蓋機構提供的公司手提電話號碼,但不包括員工個人電話號碼。 2026年4月10日於警察總部:香港網際網路註冊管理有限公司行政總裁黃家偉(右)、網路安全及科技罪案調查科署理高階警司許綺惠(中)、總督察梁以德(左) 釣魚電郵演習結果模擬釣魚點選率上升 近半員工未能及時察覺風險 根據演習結果,今年有13.4%的員工曾點選最少一條模擬釣魚電郵連結,較去年上升1.9%。值得關注的是,在曾點選釣魚電郵連結的員工中,接近一半未能即時察覺潛在風險,並繼續進行相關操作,包括上載資料或下載檔案,進一步增加敏感資料外洩的風險,建議員工看到可疑連結時先向官方渠道二次核實。 釣魚情境越貼近日常工作越難防範 演習中,參與者共收到四封模擬釣魚電郵,主題涵蓋「IT部門禮品贈送」、「網盤檔案下載通知」、「人事部門問卷調查」及「更新系統安全警示通知」。點選行為分析顯示,含有「優惠」、「限時」等字眼的電郵,較容易誘使收件人在未經深思的情況下點選連結。 此外,與日常辦公流程高度相似的主題,亦顯著降低員工戒心,增加回應的可能性。結果反映,當釣魚電郵情境貼近日常工作時,員工更難即時辨識潛在風險,凸顯持續保持警覺及培養「零信任」安全意識的重要性。員工應將所有電郵與連結視為潛在風險,避免預設其可信度,才能有效降低風險。 管理層在模擬釣魚測試點選率高於員工 釣魚攻擊威脅加劇 HKIRC 行政總裁黃家偉工程師表示,隨著網路攻擊手法日益頻繁及精密,釣魚電郵已成為企業面臨的重大網路安全威脅之一,而受害物件不僅限於一般員工,管理層同樣存在高風險。資料顯示,經理級或以上人員的點選率為15.5%,高於一般員工的13%,提醒管理層同樣需要定期培訓,以身作則。黃家偉強調,管理層在機構內擔當關鍵決策角色,其電郵帳號往往擁有較高系統許可權,並能接觸敏感及具影響力的資料,一旦帳號被入侵,對機構帶來的風險及影響將更為嚴重。…