語言聖誕網購高峰 HKCERT籲提防釣魚詐騙保障個人資料
(香港,2025年12月19日)臨近聖誕購物旺季,香港網絡安全事故協調中心(HKCERT)提醒市民在網上購物時務必提高警覺,保護個人資料,避免在不安全的網站輸入敏感訊息,以防身份盜竊及網絡詐騙。詐騙手法日趨多樣化,包括假冒知名購物平台、釣魚電郵、社交媒體優惠陷阱等,稍有不慎便可能造成財務損失或個人資料外洩。
假冒購物平台及釣魚網站 仿真度高
HKCERT觀察到,詐騙集團會在節日高峰期建立高度仿真的假冒購物平台網站,誘使用戶輸入登入帳號、信用卡資料、送貨地址等敏感訊息。這些網站的版面設計、網址及標誌往往與真實網站極為相似,令消費者難以分辨真偽。
社交媒體及即時訊息:設下節日優惠陷阱
除了假冒網站外,詐騙者亦會透過社交媒體廣告、即時通訊應用程式訊息或電郵,聲稱提供限時聖誕優惠或免運費服務,並附上連結至釣魚網站。部分詐騙更利用假QR Code或偽造付款頁面,令受害人不知不覺輸入敏感資料。
電話詐騙再現:假冒電商平台職員
詐騙者會冒認HKTVmall平台職員,訛稱受害人在登記帳戶時自動參與了額外服務,並要求其透過即時通訊應用程式聯絡所謂的客戶服務人員,或前往指定網站辦理「取消」手續。相關過程涉及社交工程及釣魚手法,藉此騙取受害人的個人資料及銀行帳戶資訊。HKCERT 提醒市民須提防來歷不明、涉及網購帳戶的來電,切勿依照指示前往外部網站或第三方通訊平台,並應透過官方渠道核實相關聲稱後才採取行動。
新型威脅:假冒速遞公司「派件通知」詐騙
HKCERT近期接獲多宗涉及假冒速遞公司的詐騙報告。詐騙者會透過短訊、電郵或即時通訊應用程式,聲稱收件人有包裹待領取,有的甚至警告如不盡快聯絡或登入網站,日後可能需要支付「逾期保管費」。此類訊息旨在製造緊迫感,迫使收件人立即行動。
該詐騙主要有兩種手法:
- 釣魚網站版本 — 訊息附上連結至假冒速遞公司網站,誘使用戶輸入個人資料、信用卡號碼或支付平台帳號,甚至下載惡意程式。
- 假客服版本 — 訊息提供假冒速遞公司電話,誘使收件人致電,並在通話中套取身份證號碼、銀行資料或一次性驗證碼等敏感訊息。
一旦受害人提供資料,詐騙者便可盜取金錢或進一步冒用身份進行其他犯罪活動。如收到此類訊息,應直接透過官方客服或官方應用程式查詢,切勿點擊可疑連結或撥打陌生電話號碼。
釣魚連結結合系統及瀏覽器漏洞:進入網站即可中招
釣魚威脅並不限於帳戶盜取密碼。近期披露的多項系統漏洞,包括影響 macOS 上 Google Chrome的CVE 2025 14174,以及影響多個 Apple 作業系統的 CVE 2025 43529,顯示攻擊者或可透過誘使使用者瀏覽惡意網站而入侵其裝置。此類惡意網站常透過釣魚電郵、假冒購物廣告或偽造速遞通知散播。在節日購物高峰期間,市民點擊優惠連結或查閱派件訊息的次數增加,相關風險亦隨之上升。若裝置或瀏覽器未有安裝最新安全更新,攻擊者或可在用戶不知情的情況下利用漏洞進行攻擊。HKCERT 呼籲市民在點擊連結時保持警覺,並確保所使用的裝置及瀏覽器已更新至最新版本。
HKCERT已發出保安公告,風險為「極高度風險」:
- Google Chrome 瀏覽器(Mac)
- 立即更新至143.0.7499.110或之後的版本
- https://www.hkcert.org/tc/security-bulletin/google-chrome-multiple-vulnerabilities_20251211
- 蘋果產品
- 立即更新至iPhone的iOS 18.7.3或iOS 26.2版本、iPad的iPadOS 18.7.3或iPadOS 26.2版本、Mac的macOS Tahoe 26.2版本、Apple Watch的watchOS 26.2版本、 Apple Vision Pro的visionOS 26.2版本、Apple TV的tvOS 26.2版本以及Safari瀏覽器的26.2版本。
- https://www.hkcert.org/tc/security-bulletin/apple-products-multiple-vulnerabilities_20251215
HKCERT 防騙關鍵建議
為保障市民在聖誕節期間安全網購,HKCERT 建議市民在採取以下網絡保安措施:
- 定期為作業系統、瀏覽器及應用程式安裝最新安全更新及修補程式,以降低因點擊釣魚連結或瀏覽惡意網站而遭受漏洞攻擊的風險。
- 使用安全可靠的 Wi-Fi 網絡,避免連接較低保安設定的公眾 Wi-Fi,特別是在進行交易的時候。
- 啟用瀏覽器的防釣魚功能以助阻擋釣魚攻擊。
- 直接輸入官方網址或使用已儲存的書籤進入購物平台,切勿點擊來歷不明的電郵、訊息或社交媒體連結。
- 在輸入個人或付款資料前,務必核實網站真偽,留意網址是否異常、拼寫錯誤或設計可疑。
- 切勿向未經核實的網站或陌生人透露禮品卡號碼、信用卡資料或個人資料。
- 切勿透過即時通訊應用程式或外部網站處理任何聲稱與帳戶設定、取消服務或退款有關的要求,相關操作應僅於官方平台內進行。
- 如接獲自稱網購平台職員的來電,切勿即時跟從指示行動,亦不要因對方提供個人資料而放下戒心,應自行透過官方網站或應用程式查證相關資訊。
- 使用「守網者」(CyberDefender)檢查可疑電郵地址、網址及IP地址,識別網絡騙局及陷阱,或致電香港警務處反詐騙協調中心「防騙易18222」尋求協助。
- 定期檢查網上帳戶及付款紀錄,開啟交易提示,及早發現未經授權的交易。
- 若懷疑成為釣魚詐騙受害者,應立即更改密碼,通知銀行或服務供應商,並向 HKCERT 報告以獲協助。
- 完 -
緊貼我們
訂閱生產力局電子報
透過電郵取得本局的最新資訊