语言HKCERT 呼吁公众復活节网购慎防钓鱼陷阱 保障个人资料免遭盗用
(香港,2025年4月16日)随着復活节长假期临近,香港网络安全事故协调中心(HKCERT)提醒公众在復活节期间网购时,应提高警惕,注意网络钓鱼及假冒网站的风险,以保障个人讯息及免招财务损失。
復活节假期是互赠礼物的欢乐时节,不少市民会透过网络平台选购节日商品或预订聚会用品。虽然网上购物便捷且选择多样,但消费者会受到新型的网络诈骗威胁。网络罪犯经常针对节庆消费热潮,伪造大量钓鱼网站及虚假优惠讯息,伺机窃取市民的个人资料与财产。
虚假交易页面 窃密手法升级
根据HKCERT监测发现,近期有黑客製作假冒网站,冒充Carousell等二手交易平台,诱导用户完成购物。用户在付款界面选择「银行转帐」时,会跳转至伪造的银行付款页面。该页面高度模彷本地银行官方界面,要求用户输入银行帐号、登录密码甚至短讯验证码。由于整个流程皆嵌入在交易平台内,消费者容易误判为正式的支付程序,从而洩露敏感财务讯息。
从下图可见,页面会根据受害人所选择的银行切换至一个彷冒该银行设计的页面。例如当受害者选择某某银行转帐时,网页会自动加载与该银行官网相同的配色、商标与表单栏位以混淆视听。曾有案例显示,受害者在彷冒页面输入网上银行密码后,诈骗集团立即利用窃取的资料进行多笔跨境高额消费。
另外,骗徒会结合「假冒官方通知」及「多重网址重定向」技术,大幅提高了诈骗讯息迷惑性。骗徒透过短讯发送伪装WhatsApp讯息,要求验证帐户。这些短讯会利用短网址掩盖真实域名,用户在短讯中仅能看见类似「t.ly/wsapps-hk」等的伪装连结,无法从连结的英文串法上直接辨识跳转后的目标网址。一旦点击后,显示的页面完全模彷WhatsApp帐户验证流程,要求输入帐户讯息。
为防范这些诈骗手法,HKCERT建议公众採取以下措施:
- 不要轻信任何未经确认的付款要求、电邮或短讯。如有疑问,应直接通过官方渠道核实;
- 任何情况下切勿向他人透露自己短讯验证码、信用卡安全码(如CVV2、CVC码)、信用卡短讯验证码(如3D Secure验证码)、支付平台及网上银行密码等;
- 收到「帐号异常」通知,应直接开启官方应用程式查询状态,不要点击讯息中的连结;致电客服时,应只使用官方网页或应用程式内提供的电话号码,不要拨打发讯息者提供的所谓「专线」;
- 使用高强度密码并启用多重身份验证(MFA);
- 定期检查支付平台的交易记录,确保没有异常活动;
- 确保所有软件和应用程式都更新至最新版本,以防止已知的安全漏洞;
- 可利用「CyberDefender守网者」的「防骗视伏器」,通过检查电邮地址、网址和IP地址等,来辨识诈骗及网络陷阱,或者致电香港警务处反诈骗协调中心「防骗易18222」热线向警方求助;
- 提高自身网络安全意识,了解更多新的诈骗手法和防范措施。
- 完 -
紧贴我们
订阅生产力局电子报
透过电邮取得本局的最新资讯
请即注册