「釣魚電郵演習」 七成公司「上鈎」
2021-06-01 00:00
■網罪科警司范俊業(右二)和總督察葉卓譽(右一),以及香港總商會數碼、資訊及電訊委員會副主席黃玉娟(左二)和卡巴斯基實驗室香港及澳門區區域經理張國保(左一),呼籲企業及員工慎防釣魚電郵騙案。
釣魚電郵騙案日益猖獗,警方商界合辦防「釣」演習。警方今年首季接獲一百四十五宗釣魚電郵騙案,損失四億八千二百八十萬元,佔整體科技罪案六成,平均每宗損失三百三十萬元,較去年同期下跌百分之三十七。雖然錄得跌幅,香港電腦保安事故協調中心的報告卻顯示,本港網絡釣魚攻擊由前年的二千五百八十七宗,上升至去年三千四百八十三宗,急增三成半,可見電郵騙案充斥網絡。
警方網絡安全及科技罪案調查科網絡安全組警司范俊業表示,不法分子以黑客技術或網絡釣魚攻擊等方式,入侵目標公司的電郵系統,窺視該公司與合作夥伴的電郵,了解當中溝通內容及字語文法,繼而假冒公司高層或商業夥伴發出電郵,聲稱更改了銀行帳戶,要求匯款至旗下傀儡開設的戶口,例如前年十二月至去年一月,有騙徒假冒與銀行達成借貸協議的商業夥伴,五度發電郵予一家日本銀行的美國分行職員,要求將三億一千四百萬港元存入五個本港傀儡戶口,為去年單一最大損失的電郵騙案。
范續稱,近期有上海汽車零件公司報案,指有人假冒其美國供應商發出電郵,稱基於匯率原因更改交易戶口,更發出冒認供應商副總裁簽署的文件,並且通話「確認」身分,受害公司人員深信不疑,去年十月至今年一月七度匯款共九百八十萬美元(約七千六百萬港元)至騙徒指定的香港銀行戶口,騙徒其後再催促支付更多款項,公司人員才起疑揭發,「企業收到電郵,如果及早致電合作夥伴核實,應可避免損失。」
黑客往往漁翁撒網,發放載有惡意連結或附件的釣魚電郵,范指出,點擊前者會進入企圖騙取網上銀行帳戶密碼等資料的虛假網站,後者可能附有惡意感染程式,同一網絡的電腦裝置有機會遭入侵。
網絡安全組總督察葉卓譽不諱言,近兩年加密勒索軟件(Ransomware)的相關罪案大幅增加,黑客會發送藏有惡意程式的電郵,當有人不慎按入連結或下載附件,其電腦會被植入程式,公司文件遭全數加密,繼而被勒索贖款,以換取破解文件的「鑰匙」,外國更有多重勒索個案,黑客會以公開或出售受害公司敏感資料作要脅,並且勒索該公司的客戶。
本港商界近月亦曾遭遇相關勒索,香港總商會數碼、資訊及電訊委員會副主席黃玉娟表示,有採取居家工作安排的公司,因員工個人電腦不幸被植入加密勒索軟件,導致載有公司檔案的伺服器被加密,尚幸公司遭受勒索後沒有繳款,加上一直有備份資料的習慣,未有全數遺失資料。
為提高公眾對釣魚電郵的認識,警方早前首度與香港總商會合辦「釣魚電郵演習」,邀請了四十六家來自銀行、金融、交通、物流、電訊、醫療及能源業的企業參加,合共一千三百八十八名員工,會在一個月內收到六封不同主題的模擬釣魚電郵,內容包括雲端文件分享、疫苗接種計畫及稅務退還等,結果七成公司有至少一名員工打開電郵的連結或附件,「中招」人數共一百六十九人,顯示網絡安全意識有待加強,銀行和金融業界員工則最為機警。
關鍵字
最新回應