詐騙手法層出不窮　「追回騙款」二次詐騙升溫 HKCERT提醒慎防假冒平台及釣魚網站

(圖片由生成式AI創建)

（香港，2026年6月11日） 香港網絡安全事故協調中心（HKCERT）提醒，最近市面湧現大批釣魚網站，假冒市民日常使用的網購及公共服務平台，包括：

• Carousell
• 電子交通告票平台
• 香港水務署（水務署）
• 中電集團（中電）
• 「積金易」平台
• 反詐騙協調中心（ADCC）
   

釣魚網站透過模仿官方標誌、頁面設計、付款或退款流程，誘導市民誤以為使用官方服務，從而騙取其個人資料、信用卡資料、帳戶資料及其他敏感資料。

假冒 Carousell以「交易確認或收款」誘騙市民登入假網上銀行頁面
HKCERT近期發現假冒 Carousell 之釣魚網站會顯示「交易確認」及「選擇您的銀行」等內容，營造買家已付款的假象，讓賣家誤以為可按指示程序收款。當賣家點選相關銀行後，便會被引導至偽冒的網上銀行登入頁面，騙取其銀行帳戶資料。

Carousell官方提醒，騙徒會假扮買家，發送虛假的付款確認連結或二維碼，引導用戶進入詐騙網站，並輸入銀行或信用卡資料。市民需留意，Carousell 官方絕不會要求用戶離開平台，或點擊外部連結提供資料。

HKCERT亦留意到，除了網上交易平台，騙徒亦將釣魚手法延伸至與生活息息相關的公共服務場景。這類釣魚網站通常會以「逾期未繳」、「欠款」、「需即時繳付罰款」、「停水」、「停電」、「退款」等字眼製造緊迫感，甚至以「可協助追回騙款」來吸引曾受騙人士。受害人往往在未核實網址真偽前因過於焦急而點擊連結、提交資料或付款。

偽冒電子交通告票平台 誘騙市民繳交罰款
HKCERT接獲涉及假冒「電子交通告票平台」釣魚網站之個案，騙徒以「eTT HK」名義發出釣魚短訊，聲稱市民需點擊短訊內的連結，以繳交罰款或查閱詳情。該連結將引導市民進入假冒的「電子交通告票平台」，並誘騙至「核實/繳付告票」頁面，藉此騙取其信用卡帳戶和個人資料。

警方日前已強調，真正的電子告票短訊只會由「#HKPF-eTT」發出，且無論短訊或電郵形式發出之告票，均不會附有任何超連結。

假冒中電及水務署 以欠款、停水停電製造緊迫感
HKCERT近期亦接獲假冒中電之個案，騙徒使用與中電官方極為相似的網域名稱，顯示「電費賬單通知書」，聲稱電費賬單已逾期，並以「重要提示」、「逾期未繳可能導致產生額外費用或暫停供電」等字眼製造壓力。進入付款頁面後，該網站會要求用戶輸入信用卡號碼、持卡人姓名及到期日等資料。頁面更展示多個信用卡品牌標誌，以模仿正常網上付款流程，令市民信以為真。

中電的官方提示：

• 中電官方網站只會使用指定域名，包括www.clp.com.hk、e.clp.com.hk、clp.to 及 web.clp.com.hk；
• 中電發出的官方短訊則會以「已登記的短訊發送人名稱」#CLP發出；
• 中電官方電郵只會使用指定域名，包括 @clp.com.hk 、@mail.clp.com.hk 或@info.clp.com.hk。
• 中電絕不會要求客戶提供密碼、信用卡資料或信用卡安全代碼（CVV）作核實身份或解鎖賬戶之用。
   

此外，HKCERT近期亦接獲不少假冒水務署之釣魚網站的個案，相關假網站同樣是模仿水務署的登入及繳費頁面，騙取市民的個人資料或信用卡資料。

水務署的官方提示： 

• 水務署不會透過電郵或短訊內的超連結引導客戶至其他網站，亦不會以短訊方式催交水費，或要求客戶提供信用卡資料。
• 水務署有關電子帳單的官方電郵，均由customer_services@wsd.gov.hk或 ccbs_no_reply@ccbs.wsd.gov.hk發出；
• 水務署官方短訊則會以「#」號作開頭。
• 如市民擔心繳費逾期，可透過官方網站www.wsd.gov.hk 登入電子服務帳戶，或下載及登入水務署綜合流動應用程式「水務易」，以獲取帳單資訊及進行繳費。
   

假冒「積金易」平台 以「退款」為名騙取付款卡資料
騙徒除了利用「繳費」作誘餌，亦會用「可收款」或「退款」等字眼來騙取市民之敏感資料。HKCERT接獲報告，有騙徒假冒「積金易」平台，以處理強積金行政費「退款」為名，誘騙市民填寫銀行卡或帳戶資料。

水務署的官方提示： 

• 市民應只透過「積金易」官方網站 https://www.empf.org.hk 或「積金易」流動應用程式登入使用「積金易」服務，切勿點擊電郵或短訊內的超連結。
• 積金局及積金易公司官方電郵域名包括 @mpfa.org.hk、@empf.org.hk、@support.empf.org.hk 及@osc.empf.org.hk；
• 積金局官方短訊發送人名稱則包括 #MPFA、 #eMPF及 #eMPFsecure，並且絕不會在短訊內附上超連結。
   

假冒 ADCC 聲稱協助追回騙款 實為二次詐騙
騙徒亦會假冒反詐騙協調中心（ADCC），聲稱可協助追回騙款、提供免費核查或專業法務諮詢，並編造成功個案及「高機率追回資金」等說法，吸引曾受騙人士主動聯絡，實際上卻是針對受害人的「二次詐騙」。

HKCERT 早前就「提防假冒反詐騙協調中心（ADCC）及多個知名品牌的釣魚網站發出釣魚警報，詳情可參閱：https://www.hkcert.org/tc/security-bulletin/phishing-alert-beware-of-phishing-websites-impersonating-the-anti-deception-coordination-centre-adcc-and-multiple-well-known-brands_20260522

HKCERT提醒市民：不點擊、不輸入、不轉帳、先核實、再行動
綜合上述個案，騙徒利用市民對網上交易平台、公共服務平台及反詐騙機構的信任，將日常的交易、繳費、罰款、收款及求助情境包裝成釣魚陷阱。

由於註冊網域及建立假網站的成本低，騙徒能持續註冊不同網域並建立假冒網站，對抗釣魚網站被移除的情況。利用公共服務名義進行釣魚攻擊的趨勢將持續增加，騙徒亦會反覆利用公眾熟悉的機構名稱及服務情境來誘騙市民，公眾須高度警覺。

面對任何涉及收款、繳費、欠款、罰款、退款或追回騙款的訊息，最安全做法是不點擊、不輸入、不轉帳、先核實、再行動。

HKCERT呼籲公眾採取以下防範措施：

• 避免點擊短訊或電郵附上之連結，切勿在可疑網站輸入個人資料、付款或其他敏感資料。
• 如收到聲稱來自本地公共服務的欠款、帳戶更新、積分、電費或水費等通知，應自行輸入官方網址、使用官方應用程式，或透過官方客戶服務渠道核實。
• 仔細核對完整網址，尤其留意是否使用與官方名稱相似但拼寫異常的網域；政府部門網站一般使用 .gov.hk 網域。
• 認清已登記短訊發送人名稱，官方短訊都會以「#」號作開頭。
• 警惕「協助追回騙款」說法，任何聲稱可快速、高機率追回騙款都應高度懷疑。如有懷疑，可致電反詐騙協調中心 24 小時「防騙易 18222」電話諮詢熱線諮詢。
• 如對可疑網址、短訊或網站存疑，亦可利用「CyberDefender守網者」的「防騙視伏器」，輸入相關網址或資料進行檢查。
• 如懷疑曾向可疑網站或騙徒提供個人資料、銀行帳戶或信用卡資料，應立即聯絡相關機構及銀行，並盡快更改密碼，以及凍結或更換信用卡；如曾授予遠端存取權限，應盡快檢查裝置是否被安裝可疑軟件。
• 如欲向HKCERT 報告與資訊保安相關的事故，可以填寫網上表格：https://www.hkcert.org/zh/incident-reporting 或致電24小時熱線：（852）8105 6060。如有其他疑問，歡迎發電郵至 hkcert@hkcert.org 與HKCERT聯絡。
   

-完-