語言HKCERT 提醒暑假外遊期間 慎防針對旅遊預訂平台及即時通訊軟件的釣魚及詐騙
(圖片由生成式AI創建,並經人類專業監督及審核。)
(香港,2026年6月29日)臨近暑假,不少市民正計劃外遊,預訂機票及酒店。香港網絡安全事故協調中心(HKCERT)呼籲公眾提高警覺,慎防騙徒在旅遊旺季發動與預訂行程相關的釣魚攻擊。
近期, HKCERT 發現有騙徒疑似利用早前 Booking.com 資料外洩事故中流出的真實訂房資料,冒充該平台或酒店,向旅客發送釣魚電郵及 WhatsApp 訊息;同時亦接獲 WhatsApp 帳戶被騎劫的個案。騙徒或會設立假冒 WhatsApp 官方網站的釣魚頁面,誘騙用戶將帳戶連結至不法裝置,甚至利用系統舊漏洞,入侵舊版本的作業系統及WhatsApp應用程式,從而騎劫用戶帳戶。
Booking.com外洩資料被用作精準釣魚攻擊
HKCERT 早前已就同類手法發出警報,提醒公眾提防冒充 Booking.com 及酒店預訂通知的釣魚訊息。騙徒利用疑似早前外洩的真實訂房資料,向旅客發送極度逼真的電郵或 WhatsApp 訊息,聲稱預訂出現問題、付款授權失敗,或要求用戶在限時內更新付款資料,否則預訂將被取消。
由於有關訊息可能包含旅客的真實姓名、酒店名稱、入住日期或行程資料,容易令受害人信以為真 ,並點擊連結進入假冒登入頁面、付款頁面或驗證頁面,輸入帳戶密碼、信用卡資料、一次性密碼等敏感資訊,最終導致金錢損失或個人資料外洩。
騎劫 WhatsApp帳戶作進一步詐騙
除旅遊預訂相關騙案外,HKCERT 近期亦有收到涉及 WhatsApp 帳戶被盜用的個案。騙徒會發送訊息,訛稱用戶的 WhatsApp 因「安全風險」而被鎖定,誘使他們點擊釣魚連結進行驗證或解鎖;或設立高度仿真的 WhatsApp 官網。當事主進入該釣魚網站後,並使用 WhatsApp 內的「已連結裝置(Linked devices)」功能,掃描釣魚網站顯示的 QR Code或選擇 「以電話號碼連結裝置」,輸入釣魚頁面上顯示的驗證碼後,其 WhatsApp 帳戶便會被騙徒控制。騙徒隨即會冒充事主,向其親友、同事或商業聯絡人發送詐騙訊息,造成進一步損失。
此外,近期海外研究指出,部分 iPhone 用戶即使未曾點擊可疑連結、掃描 QR 碼或輸入驗證碼,亦未連結任何新裝置,帳戶仍可能因iOS 與 WhatsApp 的已知舊漏洞被利用,而在毋須用戶互動的情況下被騎劫。這反映帳戶被盜用未必是用戶誤信釣魚網站或錯誤操作,使用較舊系統版本的裝置與應用程式同樣存在風險。
HKCERT 建議用戶盡快更新系統及 WhatsApp 至最新版本,並啟用 WhatsApp 的兩步驗證功能,並留意帳戶是否出現異常活動。詳情請參考HKCERT保安公告:https://www.hkcert.org/tc/security-bulletin/whatsapp-security-restriction-bypass-vulnerability_20250901
騙徒利用真實資料及緊急情境 降低受害人戒心
近期的釣魚攻擊或會利用真實資料(如用戶姓名、酒店名稱、入住日期等)提高可信度,並配合「帳戶已被鎖定」、「付款失敗」、「若不即時處理將取消預訂」等緊急字眼,迫使用戶在未有充分核實下倉促行動。
此類攻擊不限於電郵,騙徒亦會透過 WhatsApp 或其他即時通訊平台發送訊息,並引導事主進入假網站,輸入信用卡資料、一次性密碼,甚至操作帳戶的安全功能,手法更具迷惑性。
HKCERT 提醒,每逢FIFA 世界盃等重大體育賽事,騙徒亦會乘機發動釣魚攻擊,例如設立假冒售票網站,在社交媒體上發布,或假借官方名義發送訊息,以「限時折扣」、「內部票源」、「免費或平價觀看直播」等作招徠,引導用戶點擊釣魚連結、付款或安裝假冒應用程式,從而竊取包括信用卡在內的個人及財務資料。
HKCERT 網絡安全建議
為確保市民在暑假外遊時玩得安心,同時保障個人資料、財務及帳戶安全,HKCERT 建議市民採取以下保安措施:
- 收到與旅遊預訂、付款或帳戶安全相關的通知時,應直接透過官方應用程式或手動輸入官方網址查核,切勿直接點擊訊息內附連結;
- 仔細核實寄件人電郵地址及完整網址。即使訊息包含真實行程資料,亦不應貿然信以為真,應透過官方渠道再次確認;
- 切勿在可疑網站輸入帳戶密碼、信用卡資料、一次性密碼或其他敏感個人資料;
- 只從官方來源下載應用程式,切勿安裝來歷不明的應用程式;
- 定期將手機及其他流動裝置的作業系統及應用程式更新至最新版本,並啟用自動更新功能;
- 不要相信聲稱 WhatsApp 帳戶被鎖定並要求點擊連結驗證或解鎖的訊息;
- 切勿掃描來歷不明的 QR Code,亦不要按照陌生網站指示,在 WhatsApp 的「已連結裝置」功能中連結任何裝置;
- 定期檢查 WhatsApp 已連結裝置清單,若發現不明裝置應立即移除;
- 啟用強密碼及多重認證,並為 WhatsApp 啟用兩步驗證,以加強帳戶保護;
- 定期檢查銀行帳戶及信用卡交易紀錄,並開啟交易提示,以便及早發現未經授權交易;
- 如親友透過即時通訊軟件發出不尋常要求(如借錢、索取驗證碼或要求點擊連結),應先透過其他方式核實對方身份。
若懷疑已中招 應立即採取補救行動
若市民懷疑曾在可疑網站提交個人資料、帳戶憑證或信用卡資料,或懷疑 WhatsApp 帳戶被騎劫,應盡快採取以下行動:
- 立即停止與騙徒聯絡,切勿再提供任何個人、帳戶或財務資料;
- 立即更改相關平台帳戶密碼,以及其他使用相同或相似密碼的帳戶;
- 立即聯絡相關銀行或信用卡發卡機構,通報事件並要求採取保護措施;
- 檢查 WhatsApp 的「已連結裝置」,移除任何不明裝置,並啟用或重設兩步驗證;
- 通知親友及聯絡人帳戶可能已被入侵,以防騙徒冒充其身份進行詐騙;
- 保留相關證據(如可疑電郵、訊息截圖、網址、網站畫面及交易紀錄),以便跟進及舉報。
-完-
緊貼我們
訂閱生產力局電子報
透過電郵取得本局的最新資訊