語言HKCERT 呼籲市民防範資料外洩引發之釣魚攻擊及社交工程陷阱
(香港,2026年1月16日)香港網絡安全事故協調中心(HKCERT)近日關注到社交平台Instagram發生大規模個人資料外洩事件,涉及約1,700萬個帳戶資料被公開上網,可供任意下載。與此同時,假冒銀行等機構發送釣魚訊息的騙案亦持續增加。面對敏感資料大規模外洩及其可能引致的網絡攻擊,HKCERT 呼籲市民務必提高警覺,落實各項保安措施,以保障個人帳戶及財產安全。
Meta 用戶資料大規模外洩事件
黑客論壇近日出現一份聲稱源自2024年Instagram洩露的帳戶資料庫,涉及超過1,700萬個Instagram帳戶的用戶名稱、電話號碼、電郵、部分地址等個人資料。有關注事態的保安專家們發現近期有很多用戶收到來自 Instagram的密碼重置電郵,認爲與帳戶資料洩露有關,另認為資料洩露的年份應為2022年,但Meta已否認於2022年及2024年發生過任何資料洩露事故,並強調,針對早前被發現、可能被黑客用於發送密碼重置電郵的技術漏洞已被修復。但有關資料已被公開並可免費下載,HKCERT抽樣查閱資料庫內的用戶名稱,部份為真實的Instagram用戶,相信受影響用戶仍面對一定程度的保安風險。
慎防冒充銀行的釣魚訊息
近期多名市民收到冒充本地銀行的虛假訊息,內容訛稱「訂閱服務即將到期,將自動扣除月費」,誘使收件人回撥指定電話或提交銀行資料。騙徒會冒充銀行職員接聽,假稱可協助取消扣款,繼而引導受害人點擊連結進入偽冒網站,或開啟屏幕分享功能,藉此竊取銀行帳戶、密碼等資料,最終轉走存款。
網絡安全最佳實踐
上述事件說明,個人資料可能通過各種直接或間接途徑洩露,資料亦有機會被騙徒利用作不法行為,例如發出釣魚訊息等。為了更好地保障個人帳戶資料及財產安全,HKCERT 建議市民採取以下保安措施:
- 定期為作業系統、瀏覽器及應用程式安裝最新安全更新及修補程式,以降低因點擊釣魚連結或瀏覽惡意網站而遭受漏洞攻擊的風險。
- 使用安全可靠的 Wi-Fi 網絡,避免連接較低保安設定的公眾 Wi-Fi(例如不需密碼的開放式 Wi-Fi)。
- 啟用瀏覽器的防釣魚功能以助阻擋釣魚攻擊。
- 啟用多重身份驗證 (MFA)。即使密碼被盜,MFA可降低黑客攻擊的成功率。
- 使用強度高且獨特的密碼,盡可能為每個帳戶設定不同的密碼,並定期更新。建議使用密碼管理器協助管理。
- 如未曾要求重置密碼卻收到相關電郵或訊息,切勿點擊內裡連結,先核實來源再操作。
- 警惕可疑訊息,對任何聲稱來自官方機構的訊息保持懷疑,特別是要求提供個人資料或登入憑證的訊息。應透過官方應用程式或網站直接登入帳戶查閱通知。官方訊息發送人名稱均以「#」號開頭,市民收到訊息時,應留意發送人名稱是否以「#」號開頭。
- 使用「守網者」(CyberDefender)檢查可疑電郵地址、網址及IP地址,識別網絡騙局及陷阱,或致電香港警務處反詐騙協調中心「防騙易18222」尋求協助。
- 定期檢查帳戶活動、登入紀錄、已連結的應用程式及服務,以便及時發現異常活動。
- 若懷疑已墮入釣魚陷阱,應立即重設受影響帳戶的密碼,並通知相關銀行或服務供應商,及向 HKCERT 報告以獲得協助。
近年個人資料外洩事故頻生,釣魚及社交工程攻擊手法亦不斷演變,市民必須保持戒備,企業亦需加強防護。企業員工帳戶、客戶資料與商業機密同樣面臨高風險,一旦遭入侵,可能導致財務損失、聲譽損害乃至法律責任。為協助企業應對日益複雜的網絡威脅,HKCERT 將於2026年1月22日舉辦「構建企業多重防禦體系」網絡安全研討會暨安全方案專區,匯聚業界專家及合資格網絡安全服務供應商,分享多重防禦策略、威脅偵測、事故應變及員工安全培訓等實用方案。現場亦設有服務展示攤位,參加者可即場與供應商代表交流,尋求切合需要且經濟有效的網絡安全解決方案。
費用全免,立即掃瞄二維碼報名
- 完 -
緊貼我們
訂閱生產力局電子報
透過電郵取得本局的最新資訊