佳節支付「餡餅」變陷阱 HKCERT警告慎防節日釣魚攻擊

佳節支付「餡餅」變陷阱 HKCERT警告慎防節日釣魚攻擊

(香港,2026年2月10日)今年情人節適逢臨近農曆新年,許多市民會使用流動支付及電子錢包進行購物轉賬、搶購節日優惠,或派發電子利是以歡慶佳節。然而,近期出現多種針對此類平台的網絡釣魚攻擊,手法包括假冒客服、訂閱陷阱,以及訛稱帳戶已被凍結等,並主要針對香港市民常用的購物與流動支付平台展開。若用戶一時疏忽,可能導致金錢損失或帳戶被盜。香港網絡安全事故協調中心(HKCERT)提醒市民應提高警惕,慎防針對購物平台(例如:HKTVmall)及流動支付平台(例如:轉數快FPS 、PayMe、AlipayHK 等)的各類網絡釣魚攻擊,以免在節日期間遭受財產損失。

近期發現的釣魚攻擊手法主要是利用市民輕信心理與恐慌心態 。騙徒透過偽冒客服的方式發送内含惡意連結的短訊,誘導受害人交出帳戶控制權或進行虛假交易的確認。常見釣魚攻擊手法警示如下:

  • 「假冒購物平台職員」陷阱:騙徒假冒購物平台(例如:HKTVmall)職員致電用戶,聲稱用戶在登記時曾自動購買了一份家居保險,且已經到期,並要求用戶透過 WhatsApp 聯絡虛假保險公司的客服來「終止收費」。其後其再誘騙用戶進入釣魚網站,以騙取其個人資料。
    騙徒訛稱用戶HKTVMall家居保險已過期
     
  • 「帳戶驗證」陷阱:騙徒假冒支付平台職員(例如:轉數快FPS、PayMe 及 AlipayHK等),透過電話、WhatsApp或短訊聯絡受害人,聲稱其需進行身份驗證,進而誘騙受害人提供一次性驗證碼(OTP)、交易密碼或個人資料等訊息。
     
  • 「自動付款」陷阱:騙徒訛稱用戶服務計劃的試用期已過,後續可能產生自動付款,並收取高額的月費或年費;同時騗徒會聲稱用戶需要在限時內聯絡其所提供的假熱線號碼或 WhatsApp 號碼以終止服務計劃,並要求用戶即時提供個人資料或完成按連結操作。騙徒有時還能提供用戶全名及部分身份證資料以降低用戶戒備心,並利用緊迫感迫使受害人在倉促下提供敏感資料或進行轉賬。
    騙徒訛稱用戶其服務計劃的試用期已過,並會自動付款收取高額的月費或年費
     
  • 「帳戶凍結」陷阱:騙徒發電郵或短訊,訛稱用戶的支付帳戶被凍結或賬戶喜得現金禮券或其他獎品,以誘導用戶點擊附有假冒網站的惡意連結。一旦受害人被誘導進入假冒網站後,其所輸入的個人資料便會被騙徒截取,其帳戶進而被不法分子登入及盜用。

    騙徒發送釣魚短訊訛稱用戶的支付帳戶因安全原因被暫時關閉,需要經連結內的網站恢復正常使用
     
  • 「購物平台退款」陷阱:騙徒偽造網上購物的轉帳截圖騙取貨品,或假稱重複收款要求「即時退款」至陌生戶口。  
  • 「電子利是」陷阱:隨着「電子利是」的使用日漸普及,騙徒利用新年派發利是的習俗,假冒用戶的朋友親人向其拜年祝賀,並發送附有虛假訊息的提示短訊,誘導接收者點擊連結或掃描二維碼,套取其個人敏感資料。  
  • 「WhatsApp 貼圖」陷阱:騙徒在佳節期間發送看似正常的賀年貼圖或祝福圖片,並隨附一條聲稱可「領取獎勵」或「查看專屬賀卡」的連結。用戶點擊後,網頁會誘導下載惡意程式檔案(如 APK)。一旦安裝,騙徒便可遠端攔截 SMS 短訊以獲取銀行一次性密碼(OTP),進而非法轉走用戶的銀行存款。  
  • 「廉價網購」陷阱:騙徒在社交平台開設虛假商店,以售賣廉價食品或旅遊服務為名,透過指示市民安裝非官方 App、APK安裝程式或以遠端協助名義要求用家共享螢幕,進而竊取用戶的一次性密碼及敏感資料。
     

HKCERT 防騙網安建議 
為保障市民在情人節與新年期間安全使用流動支付及電子錢包,HKCERT 建議市民在採取以下網安措施:

  1. 切勿向任何人(包括自稱銀行/平台職員)透露驗證碼與密碼,包括一次性驗證碼(OTP)、交易密碼、信用卡資料等個人資料。
  2. 切勿撥打短訊內提供的號碼,獨立核實來電/短訊,自行到官網或官方應用程式內查找客戶服務或支援熱線,並再致電查詢。即使對方說出自己的部分姓名或部分個人資料,也不可因此放鬆警惕,切勿點擊來歷不明的電郵、訊息或社交媒體內的連結。 
  3. 使用流動支付和電子支付前,核對商戶名稱(如轉數快FPS顯示全名),設置交易限額(尤其信用卡綁定電子錢包時)。以 QR code進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄。
  4. 只從官方途徑下載手機應用程式,小心選擇給予應用程式的存取權限,如被要求短信讀取、收集通訊錄、相機、位置時,應份外留神。
  5. 定期為作業系統、瀏覽器及應用程式安裝最新安全更新及修補程式,以降低因點擊釣魚連結或瀏覽惡意網站而遭受漏洞攻擊的風險。 
  6. 使用安全可靠的 Wi-Fi 網絡,避免連接較低保安設定的公眾 Wi-Fi 處理銀行或交易服務。 
  7. 啟用瀏覽器的防釣魚功能以助阻擋釣魚攻擊。 
  8. 在輸入個人或付款資料前,務必核實網站真偽,留意網址是否異常、拼寫錯誤或設計可疑。 
  9. 切勿透過即時通訊應用程式或外部網站處理任何聲稱與帳戶設定、取消服務計劃或退款有關的要求,相關操作應僅於官方平台內進行。 
  10. 使用「守網者」(CyberDefender)檢查可疑電郵地址、網址及IP地址,識別網絡騙局及陷阱,或致電香港警務處反詐騙協調中心「防騙易18222」尋求協助。 
  11. 定期檢查網上帳戶及付款紀錄,開啟交易提示,及早發現未經授權的交易。 
  12. 若懷疑成為釣魚或詐騙受害者,應立即更改密碼,通知銀行或服務供應商,並向 HKCERT 報告尋求獲助。
     

HKCERT日前發表年度「香港網絡安全展望 2026」。報告指出2025年共錄得 15,877宗網安事故,而釣魚攻擊為最主要的威脅來源,佔近六成事故宗數,市民如欲了解更多有關釣魚攻擊的資訊,請瀏覽:https://www.hkcert.org/tc/publications/all-out-anti-phishing

企業或公眾如欲向HKCERT 報告與資訊保安相關的事故,例如惡意程式、網絡釣魚、阻斷服務攻擊等,可以填寫網上表格:https://www.hkcert.org/zh/incident-reporting 或致電24小時熱線:(852)8105 6060。如有其他疑問,歡迎發電郵至 hkcert@hkcert.org 與HKCERT聯絡。

-完-

紧贴我们
订阅香港生产力促进局电子报

透过电邮取得本局的最新资讯

请即注册

服务

支援和资源

创科录

关于香港生产力促进局

私隐声明 使用本网站表示你接受有关的使用条款 职业健康及安全政策 (PDF版) 恶劣天气下的服务安排 网站指南 联络我们

© 香港生产力促进局 版权所有,不得转载

首页 线上对话 联络我们 职位空缺
招标资料 订阅