上月展开的一项测试发现,本地企业员工对网络“钓鱼”诈骗的戒心不足,会点击“钓鱼”链接的员工比率是全球平均水平的近两倍,而会举报这类电邮的员工比率则不及全球的三分之一。
测试结果显示,本地企业与机构有必要重新审视各自的网络安全应对计划和准备工作,辨认及削弱存在的风险。
为配合全面防卫日,新加坡齐心应变演习(Exercise SG Ready)于2月15日至28日举行。当中的一个项目是由国防部全面防卫与联系署(Nexus)和新加坡工商联合总会携手展开的网络钓鱼(phishing)测试。
为期两个星期的测试有约200家来自零售业、工业、咨询与服务业、环境相关领域及医疗保健业的企业参与,超过八成是中小型企业。
这些企业的超过4500名员工所收到的钓鱼电邮内容不一,涉及个人电脑账户、安全警报及企业内部通信(internal communications)等。测试活动记录下员工收到钓鱼电邮后的反应。
整体而言,有超过三成的钓鱼电邮被点击打开;点击电邮内钓鱼链接的员工多达17%,比网络安全公司Proofpoint在2024年钓鱼状况报告中的全球平均水平高出八个百分点;发现电邮有可疑之处,进而向企业负责人举报的员工只有5%,而全球的钓鱼电邮举报率为18%。
相比之下,本地企业员工的反钓鱼诈骗意识薄弱,较容易上当。本地企业在提升网络安全意识和加强员工举报钓鱼电邮程序方面,还有很大的进步空间。
测试发现,大型企业和中小型企业员工点击钓鱼链接的比率不相上下,意味着所有企业都同样容易遭受钓鱼诈骗的攻击。
测试发出的各类钓鱼电邮中,点击率最高的是那些同企业内部通信有关的,也就是说较容易让员工掉以轻心的是伪装成企业内部发出的电邮。
