移至主內容

HKCERT  呼籲公眾提防針對網上平台用戶的可疑訊息

(香港,2024年8月15日)釣魚攻擊日益頻繁及嚴重,近年更有許多騙徒假冒網上平台致電或發送詐騙短訊,訛稱保費到期提示、超市積分失效、戶口凍結等誘騙用戶,實施詐騙。香港網絡安全事故協調中心(HKCERT)已針對不同的攻擊方式,發出多個釣魚警報,例如早於三月時已發出釣魚攻擊警報。有鑑近期形式轉變,HKCERT再次呼籲公眾務必提高警惕,謹防受騙。

詐騙短訊內容包羅萬有,多涉及市民常用服務及優惠

騙徒會留意本地市民關心的熱門話題或常用服務進行網絡詐騙。近期就有很多以「服務到期將自動繳費續約」「賬戶被凍結需點擊連結解凍」「平台積分即將到期失效」製作釣魚短訊及網站,利用市民的好奇或緊張心理,誘騙點擊。騙徒喜歡用短訊散播釣魚短訊的原因是短訊的發送人名稱可以被假冒,容易令市民誤信,另外因手機普及,以短訊形式可散發至廣大市民。

大多數假冒網址都是簡短連結,市民難以從連結上辨別真偽;加上手機螢幕細小,進入假網站後亦不易從網頁外觀上找出可疑之處。而且市民一般對手機的保安意識不高,所以以短訊的詐騙成功率亦很高。

以下是近期HKCERT收到的釣魚短訊例子:

HKCERT 呼籲公眾提防針對網上平台用戶的可疑訊息

假短訊與真短訊合併顯示於同一發送人頁面

在香港,由於短訊發送人ID(Sender ID)未受到控制,騙徒可惡意生成發送人ID並發送釣魚短訊,因手機會以發送人名稱自動分斃,所以釣魚短訊會與此前發送的普通短訊合併顯示於同一發送人頁面內,令用戶有可能墮入釣魚短訊詐騙的陷阱。

然而現時詐騙集團已經有系統式經營,有釣魚短訊甚至指示用戶致電假扮的客戶服務人員溝通,令詐騙陷阱更有說服力。

HKCERT 呼籲公眾提防針對網上平台用戶的可疑訊息

例子:假冒保險短訊以WeChat為名發送,最後和真短訊顯示在一起。

HKCERT建議用戶:

  • 如收到有指示的訊息,應向官方客戶服務人員核實;
  • 如平台載有手機應用程式,應從官方平台安裝應用程式並使用以其管理帳戶;
  • 用戶可以參考已登記參與「短訊發送人登記制」的公司或機構,會使用其以「#」號開頭的「已登記的短訊發送人名稱」發出短訊;
  • 警惕任何在電話、超連結、短訊中要求共享螢幕(或遠端控制手機)、提供銀行卡資料、轉賬以證明戶口屬於自己的行為;
  • 任何情況下切勿向他人透露自己短訊驗證碼、信用卡CVV2碼、信用卡短訊驗證碼(3D Secure驗證碼)、支付密碼及銀行卡密碼;
  • 可利用「CyberDefender守網者」的「防騙視伏器」,通過檢查電郵地址、網址和IP地址等,來辨識詐騙及網絡陷阱,或者致電香港警務處反詐騙協調中心「防騙易18222」熱線向警方求助。


企業或公眾如欲向HKCERT 報告與資訊保安相關的事故,可以填寫網上表格:https://www.hkcert.org/zh/incident-reporting 或致電24小時熱線:(852)8105 6060。如有其他疑問,歡迎發電郵至 hkcert@hkcert.org 與HKCERT聯絡。

- 完 -