跳转到主要内容

HKCERT  呼吁公众提防针对网上平台用户的可疑讯息

(香港,2024年8月15日)钓鱼攻击日益频繁及严重,近年更有许多骗徒假冒网上平台致电或发送诈骗短讯,讹称保费到期提示、超市积分失效、户口冻结等诱骗用户,实施诈骗。香港网络安全事故协调中心(HKCERT)已针对不同的攻击方式,发出多个钓鱼警报,例如早于三月时已发出钓鱼攻击警报。有鑑近期形式转变,HKCERT再次呼吁公众务必提高警惕,谨防受骗。

诈骗短讯内容包罗万有,多涉及市民常用服务及优惠

骗徒会留意本地市民关心的热门话题或常用服务进行网络诈骗。近期就有很多以「服务到期将自动缴费续约」「账户被冻结需点击连结解冻」「平台积分即将到期失效」製作钓鱼短讯及网站,利用市民的好奇或紧张心理,诱骗点击。骗徒喜欢用短讯散播钓鱼短讯的原因是短讯的发送人名称可以被假冒,容易令市民误信,另外因手机普及,以短讯形式可散发至广大市民。

大多数假冒网址都是简短连结,市民难以从连结上辨别真伪;加上手机萤幕细小,进入假网站后亦不易从网页外观上找出可疑之处。而且市民一般对手机的保安意识不高,所以以短讯的诈骗成功率亦很高。

以下是近期HKCERT收到的钓鱼短讯例子:

HKCERT 呼吁公众提防针对网上平台用户的可疑讯息

假短讯与真短讯合併显示于同一发送人页面

在香港,由于短讯发送人ID(Sender ID)未受到控制,骗徒可恶意生成发送人ID并发送钓鱼短讯,因手机会以发送人名称自动分毙,所以钓鱼短讯会与此前发送的普通短讯合併显示于同一发送人页面内,令用户有可能堕入钓鱼短讯诈骗的陷阱。

然而现时诈骗集团已经有系统式经营,有钓鱼短讯甚至指示用户致电假扮的客户服务人员沟通,令诈骗陷阱更有说服力。

HKCERT 呼吁公众提防针对网上平台用户的可疑讯息

例子:假冒保险短讯以WeChat为名发送,最后和真短讯显示在一起。

HKCERT建议用户:

  • 如收到有指示的讯息,应向官方客户服务人员核实;
  • 如平台载有手机应用程式,应从官方平台安装应用程式并使用以其管理帐户;
  • 用户可以参考已登记参与「短讯发送人登记制」的公司或机构,会使用其以「#」号开头的「已登记的短讯发送人名称」发出短讯;
  • 警惕任何在电话、超连结、短讯中要求共享萤幕(或远端控制手机)、提供银行卡资料、转账以证明户口属于自己的行为;
  • 任何情况下切勿向他人透露自己短讯验证码、信用卡CVV2码、信用卡短讯验证码(3D Secure验证码)、支付密码及银行卡密码;
  • 可利用「CyberDefender守网者」的「防骗视伏器」,通过检查电邮地址、网址和IP地址等,来辨识诈骗及网络陷阱,或者致电香港警务处反诈骗协调中心「防骗易18222」热线向警方求助。


企业或公众如欲向HKCERT 报告与资讯保安相关的事故,可以填写网上表格:https://www.hkcert.org/zh/incident-reporting 或致电24小时热线:(852)8105 6060。如有其他疑问,欢迎发电邮至 hkcert@hkcert.org 与HKCERT联络。

- 完 -