電郵安全大作戰：HUST與HKU Webmail用戶必知的防釣魚技巧

電郵安全的重要性與用戶風險現狀

隨著數位化時代的深入發展，電子郵件已成為學術交流與日常工作不可或缺的工具。根據香港警務處最新公布的數據，2023年香港共錄得8,900宗釣魚郵件舉報案件，較去年同期上升逾三成，其中教育機構更是重災區。（香港科技大學）與HKU（香港大學）的Webmail系統使用者由於經常透過電子郵件接收重要學術資訊與行政通知，自然成為網路犯罪分子的重點目標。

這些釣魚攻擊不僅可能導致個人資料外洩，更可能危及學校系統安全。近期就發生過有教授因點擊偽裝成「」通知的釣魚郵件，導致研究資料遭勒索軟體加密的案例。香港大學計算機中心的安全報告顯示，2023年第一季就攔截了超過15,000封針對使用者的惡意郵件，其中近三成偽裝成課程通知或系統升級提醒。

特別值得注意的是，隨著人工智能技術的普及，釣魚郵件的偽造程度越來越高。過去容易識別的語法錯誤現在已較少見，取而代之的是使用正體中文且語氣自然的詐騙內容。這使得即使是資深的HUST教職員也可能一時不察而中招，更不用說剛入學的新生。

釣魚郵件的特徵與手法解析

識別釣魚郵件的關鍵特徵

要有效防範釣魚攻擊，首先需要了解其常見特徵。根據香港電腦保安事故協調中心的統計，超過八成釣魚郵件具有以下特點：

• 發件人地址可疑：詐騙者常使用與官方極為相似的域名，例如將「hku.hk」改為「hku-uk.com」或「hku-login.net」。近期有HUST使用者收到來自「hust-admin@hust-support.com」的郵件，聲稱需要驗證帳戶以免失去「長期服務獎」申請資格
• 主題聳動或緊急：常使用「緊急通知」、「帳戶將被暫停」、「獎學金申請最後機會」等標題引發收件人焦慮，促使其未經思考就行動
• 內文語法錯誤或不自然：儘管AI技術進步，但多數釣魚郵件仍存在細微的語言問題，如用詞不當、標點符號錯誤或格式不一致
• 包含不明連結或附件：這些連結通常指向偽造的登入頁面，而附件則可能包含惡意軟體

常見釣魚手法深度剖析

網路犯罪分子不斷創新詐騙手法，但以下幾種模式仍最為常見：

特別值得注意的是，近期出現針對研究人員的定向釣魚攻擊，詐騙者會詳細研究目標的專業領域，然後發送與其研究相關的「會議邀請」或「論文合作請求」，附件中卻包含間諜軟體。這種高度定制的攻擊更難識別，需要格外警惕。

HUST Webmail用戶的全面防護策略

作為香港科技大學的電子郵件使用者，採取系統性的安全措施至關重要。以下是針對HUST環境特點的具體建議：

發件人驗證與連結檢查

HUST資訊科技服務中心強調，所有官方郵件均來自「@ust.hk」結尾的域名。收到任何疑似郵件時，應仔細檢查發件人地址的每個字符，特別注意替換字元（如數字"0"代替字母"O"）與拼寫錯誤。對於郵件中的連結，切勿直接點擊，而是應將滑鼠懸停在連結上查看實際URL，或手動在瀏覽器中輸入官方網站地址。

近期有詐騙者冒充HUST人事部門，以「長期服務獎」資格確認為由，要求教職員點擊連結填寫個人資料。實際上，HUST所有關於獎項的通知均會引導師生登入官方入口網站，而非透過郵件中的連結直接訪問。

雙重驗證與密碼管理

HUST已為所有帳戶提供雙重驗證(2FA)功能，強烈建議使用者啟用。當在新設備登入HUST Webmail時，系統會要求輸入手機驗證碼，即使密碼外洩，攻擊者也難以入侵帳戶。同時，應定期更新密碼，且避免在HUST帳戶與其他服務使用相同密碼。

根據HUST資訊安全部門的數據，啟用雙重驗證的帳戶遭受未授權存取的比例降低了98%。考慮到學術郵件中常包含未公開的研究數據與機密資訊，這一額外保護層對研究人員尤其重要。

可疑郵件舉報流程

若收到可疑郵件，應立即轉發至HUST指定的安全郵箱（security@ust.hk），並刪除原始郵件。資訊科技服務中心會在分析後向全校發布警示。2023年，HUST透過這種集體防護機制，成功預防了至少三起大規模釣魚攻擊，保護了眾多師生免受「長期服務獎」相關詐騙的侵害。

HKU Webmail用戶的針對性防護方案

香港大學的電子郵件系統同樣面臨嚴峻的安全挑戰，以下是針對HKU Webmail環境的特有建議：

識別官方通訊模式

HKU官方郵件均有特定格式與特徵，所有行政通知均會同時在Portal網站公布。近期有詐騙者發送偽造的「系統升級通知」，要求HKU Webmail使用者點擊連結「重新驗證」帳戶，否則將暫停服務。實際上，HKU資訊科技服務處從不會透過電子郵件要求使用者提供密碼。

特別值得注意的是，HKU各部門的正式郵件均有固定的簽名格式與聯絡方式，而釣魚郵件往往缺少這些細節，或使用泛泛的稱謂（如「親愛的用戶」而非具體姓名）。

附件安全處理原則

對於HKU Webmail中的附件，應始終保持警惕。即使發件人看似熟悉，也應確認其確實發送了該文件。近期有攻擊者入侵了一位教授的帳戶，然後向其聯絡人發送帶有惡意宏的Word文檔，聲稱是「研究資料」。HKU計算機中心建議，在打開任何附件前，應先使用中央提供的防毒軟體進行掃描。

對於聲稱與「長期服務獎」相關的文件，應直接聯繫人事部門確認，而非直接開啟郵件中的附件。HKU的實際做法是引導合資格人員登入員工自助系統查看相關信息。

安全設定最佳實踐

HKU Webmail提供了多項進階安全設定，包括：

• 登入活動監控：定期檢查帳戶的登入記錄，發現異常位置立即報告
• 會話管理：定期登出未使用的設備與瀏覽器會話
• 郵件轉發限制：避免將HKU郵件自動轉發至外部帳戶，防止敏感資料外洩

根據HKU資訊安全團隊的統計，約有15%的安全事件源於畢業生未能及時更新聯絡方式，導致重要通知被轉發至已不再使用的個人帳戶。因此，定期更新個人資料與安全設定同樣重要。

建立全面電郵安全防護網

電郵安全不僅是技術問題，更是習慣與意識的培養。無論是HUST還是HKU Webmail使用者，都應建立以下安全習慣：

持續學習與警惕

特別值得注意的是，隨著「長期服務獎」等具吸引力的主題常被詐騙者利用，對這類郵件應格外謹慎。任何關於獎項、獎金或特殊機會的郵件，都應透過官方管道二次確認。

個人資訊保護原則

無論透過HUST還是HKU Webmail，都應謹記：真正的官方機構極少會透過電子郵件索求敏感個人資訊。學號、身份證號碼、銀行帳戶等資料的提供，應僅限於加密的官方入口網站。

若不幸點擊了可疑連結或提供了密碼，應立即採取以下措施：

• 更改相關帳戶密碼
• 檢查帳戶設定是否有未授權的轉發規則
• 聯繫學校資訊科技部門進行安全檢查
• 監控個人帳戶異常活動

電郵安全是一場持續的戰鬥，需要HUST與HKU Webmail使用者保持警惕，並積極採用各種防護措施。只有將安全意識內化為日常習慣，才能在享受數位化便利的同時，有效保護自己的學術成果與個人資料免受侵害。