HKIRC與香港警務處及數字政策辦公室攜手合辦《「釣爾輕心」社交工程演習 2025》

By PR Newswire on 17 Apr 2026

PR Newswire (www.prnasia.com), a Cision company, is the premier global provider of media monitoring platforms and news distribution services that marketers, corporate communicators and investor relations professionals leverage to engage key audiences. Having pioneered the commercial news distribution industry since 1954, PR Newswire today provides end-to-end solutions to produce, distribute, target and measure text and multimedia content across traditional, digital, mobile and social channels. Combining the world's largest multi-channel content distribution and optimization network with comprehensive workflow tools and platforms, PR Newswire powers the stories of organizations around the world. PR Newswire serves tens of thousands of clients from offices in the Americas, Europe, Middle East, Africa and Asia-Pacific regions.

逾5.3萬名員工參與創新高涵蓋電郵及短訊提升業界網絡安全意識

香港2026年4月17日 /美通社/ -- 香港互聯網註冊管理有限公司(HKIRC)聯同香港警務處網絡安全及科技罪案調查科(CSTCB)及數字政策辦公室(DPO)合作舉辦的《「釣爾輕心」社交工程演習 2025》已圓滿結束。主辦方較早前於警察總部舉行成果發布會，分享演習結果及分析業界最新網絡安全趨勢。是次演習已踏入第三年，參與機構數目及員工人數再創新高，當中「釣魚電郵演習」共吸引超過300間機構參與，超過53,000名僱員參加，較去年增加超過40%，反映業界普遍重視提升員工網絡安全意識，並積極透過演習強化防禦能力。今年演習新增「釣魚短訊演習」項目，共有超過30 間機構，超過3,600人參與。演習涵蓋機構提供的公司手提電話號碼，但不包括員工個人電話號碼。

2026年4月10日於警察總部：香港互聯網註冊管理有限公司行政總裁黃家偉（右）、網絡安全及科技罪案調查科署理高級警司許綺惠（中）、總督察梁以德（左）
2026年4月10日於警察總部：香港互聯網註冊管理有限公司行政總裁黃家偉（右）、網絡安全及科技罪案調查科署理高級警司許綺惠（中）、總督察梁以德（左）

釣魚電郵演習結果模擬釣魚點擊率上升近半員工未能及時察覺風險

根據演習結果，今年有13.4%的員工曾點擊最少一條模擬釣魚電郵連結，較去年上升1.9%。值得關注的是，在曾點擊釣魚電郵連結的員工中，接近一半未能即時察覺潛在風險，並繼續進行相關操作，包括上載資料或下載檔案，進一步增加敏感資料外洩的風險，建議員工看到可疑連結時先向官方渠道二次核實。

釣魚情境越貼近日常工作越難防範

演習中，參與者共收到四封模擬釣魚電郵，主題涵蓋「IT部門禮品贈送」、「網盤文件下載通知」、「人事部門問卷調查」及「更新系統安全警示通知」。點擊行為分析顯示，含有「優惠」、「限時」等字眼的電郵，較容易誘使收件人在未經深思的情況下點擊連結。

此外，與日常辦公流程高度相似的主題，亦顯著降低員工戒心，增加回應的可能性。結果反映，當釣魚電郵情境貼近日常工作時，員工更難即時辨識潛在風險，凸顯持續保持警覺及培養「零信任」安全意識的重要性。員工應將所有電郵與連結視為潛在風險，避免預設其可信度，才能有效降低風險。

管理層在模擬釣魚測試點擊率高於員工釣魚攻擊威脅加劇

HKIRC 行政總裁黃家偉工程師表示，隨着網絡攻擊手法日益頻繁及精密，釣魚電郵已成為企業面臨的重大網絡安全威脅之一，而受害對象不僅限於一般員工，管理層同樣存在高風險。數據顯示，經理級或以上人員的點擊率為15.5%，高於一般員工的13%，提醒管理層同樣需要定期培訓，以身作則。黃家偉強調，管理層在機構內擔當關鍵決策角色，其電郵帳號往往擁有較高系統權限，並能接觸敏感及具影響力的資料，一旦帳號被入侵，對機構帶來的風險及影響將更為嚴重。

近九成機構至少一人點擊模擬釣魚電郵連結中小企風險顯著上升

從機構層面分析，在本次演習的機構內，有89%（268間）至少有一名員工曾點擊釣魚電郵連結，較去年77%上升12%，增幅主要來自中小企。雖然相關數據會因企業規模及參與人數而有所差異，但結果再次反映釣魚電郵仍然是最容易令人「中招」的網絡攻擊手段之一。

因此，機構有必要持續為員工提供網絡安全意識培訓，切勿掉以輕心。網絡安全事故不僅可能威脅企業的數據安全，更可引致財務損失及品牌信譽受損。透過持續教育與訓練，確保員工能識別可疑電郵並採取適當行動，才能從整體上提升防禦能力。

全港首次模擬釣魚短訊演習結果

今次演習的「釣魚短訊演習」是全港首次舉辦的同類型演習，透過向參與機構的員工公司號碼發送模擬釣魚短訊，評估員工在面對流動通訊渠道時的警覺性及應對能力。

結果顯示，有 5.9% 的員工點擊了至少一條模擬釣魚短訊連結，並且70% 的機構至少有一名員工曾點擊模擬釣魚短訊連結。

雖然模擬釣魚短訊的整體點擊率為 5.9%，低於釣魚電郵的 13.4%，但這並不代表釣魚短訊的風險可以忽視。與電郵相比，短訊內容通常更簡短，能提供的資訊有限，員工難以獲取足夠線索作進一步核實；同時，短訊的發件人身份顯示有限，來源真偽更難辨識，進一步增加了受騙的風險，提醒員工遇到可疑連結時，務必透過官方渠道再次驗證，以降低風險。

由上而下推行「零信任」文化

黃家偉總結時表示：「面對釣魚攻擊，不論透過任何渠道，網絡安全是由上而下、全公司共同承擔的責任。企業必須堅守『零信任原則』，不能掉以輕心，並透過每年的定期培訓及重溫，讓員工學會如何識別釣魚郵件，以及正確的舉報流程，從而提升整體警覺性及安全意識。」

HKIRC 推出 Cybersec Training Hub，為企業及機構提供免費的網絡安全培訓平台。課程設計貼近日常工作場景，內容實用，幫助員工建立基本的網絡安全知識與技能。完成測試並達到合格要求的學員可獲電子證書，協助企業評估員工的安全認知水平，並增強對整體防護能力的信心。透過 Cybersec Training Hub，企業能擴大培訓覆蓋範圍，從源頭加強防禦，為長遠的網絡安全奠定穩固基礎。

Cybersec Training Hub 平台重點

完全免費：所有培訓課程均可免費參加。
無需技術背景：適合所有員工，無論是否具備 IT 專業知識。
貼近工作情境：課程設計以日常工作場景為基礎，實用性高。
電子證書：完成測試並達到合格要求即可獲發證書，方便企業評估員工安全認知水平。
持續更新：培訓內容會不斷更新，涵蓋最新的網絡安全議題。

官方網站參加培訓：Cybersec Training Hub

透過這個平台，企業能擴大培訓覆蓋範圍，確保每位員工都具備基本的網絡安全知識，為公司長遠的防護能力奠定穩固基礎。

另外，為提高企業整體防護能力，可參加由 DPO，HKIRC 與國際信息系統審計協會中國香港分會 (ISACA)合辦的「共建員工防火牆」嘉許計劃。此計劃旨在推動企業建立人力防火牆，全面提升員工的網絡安全意識。參與機構可獲不同級別的認可獎座，彰顯其在培訓與防護上的努力，並向外界展示企業在網絡安全上的承擔與決心。

參與機構需在過去 12 個月內達到以下條件：

員工培訓：至少 50% 員工完成網絡安全培訓（如 Cybersec Training Hub）。
釣魚演習：員工至少參與一次釣魚電郵演習。
政策架構：建立全面的網絡安全政策，涵蓋遠程工作、AI 使用指引等。
報告渠道：設立有效途徑，讓員工能舉報可疑或惡意電郵。
資訊共享：積極參與網絡安全資訊共享平台（如 Cybersec Infohub）。
風險評估：每年至少進行一次網絡安全風險評估。

立即參加: 「共建員工防火牆」嘉許計劃

– 完 –

關於香港互聯網註冊管理有限公司
香港互聯網註冊管理有限公司 (HKIRC) 為香港特別行政區政府指定的非利潤分配、非法定擔保有限公司，專責從事香港地區頂級域名 (即 .hk及.香港) 的行政工作。HKIRC所提供的域名登記類別包括英文.com.hk、.org.hk、.net.hk、.edu.hk、.gov.hk、.idv.hk、.hk，及中文的.公司.香港、.組織.香港、.網絡.香港、.教育.香港、.政府.香港、.個人.香港、.香港，和將會在香港推出其他相關域名的服務。