HKCERT呼籲公眾提防假冒水務署釣魚郵件騙取信用卡資料

HKCERT呼籲公眾提防假冒水務署釣魚郵件騙取信用卡資料

(香港,2026年3月13日)近日有騙徒冒充水務署,以短訊或電郵方式向市民發送訛稱「用水帳戶資料更新提示」通知,並列出所謂 「欠款」,誘使收件人點擊連結進入釣魚網站,並要求輸入個人資料或信用卡資料以繳交費用。香港網絡安全事故協調中心(HKCERT)近日亦接獲並處理多宗相關個案,翻查個案處理紀錄,假冒水務署的詐騙手法其實在兩年前已出現(相關保安警報),近日的個案反映此類以政府公共服務名義進行的釣魚攻擊近期又再度活躍起來。

相關釣魚訊息一般以「用水帳戶近期帳務資料已更新」、「建議您登入水務署服務平台查閱帳戶資料及帳單紀錄」等字眼作招徠,並附上文字超連結,連結至看似官方的釣魚網站,聲稱可直接前往登入「水務署服務平台」或「水務署官方網站」頁面查閱帳戶資料及帳單紀錄。一旦點擊相關連結會進入假冒水務署登入頁面的釣魚網站;釣魚網站會以真實機構標誌及版面設計混淆視聽,令用戶在不知情下輸入資料。市民應提高警覺,切勿因「暫停供水」等訊息而急於點擊及提交信用卡號碼等個人資料。

近期釣魚訊息常見特徵(示例):

  1. 以「用水帳戶資料更新提示」作為主旨,要求登入帳戶完成付款或提供資料。
  2. 附上簡短網址或文字超連結(例如「水務署服務平台」),將特定文字設為可點擊的連結,引導至釣魚網站。
  3. 假冒水務署登入及繳費頁面要求輸入電話號碼及信用卡資料等敏感資料。
  4. 釣魚網址刻意包含與「wsdbg」 、「wsdio」 、「wsdde」 、「wsdazx」等與水務署官方網址相關字眼或以相似拼寫混淆視聽。
     

假冒水務署的釣魚電郵及釣魚網站攻擊流程

  1. 騙徒先假冒水務署發送釣魚電郵或短訊,訛稱細額欠款來引誘受害人登入處理。
    騙徒先假冒水務署發送釣魚電郵或短訊,訛稱細額欠款來引誘受害人登入處理。(上圖為分別兩封不同內容的釣魚電郵)
     
  2. 點擊釣魚連結後,假冒頁面無論在構圖及設計上都與官方網站非常相似。頁面更會裝模作樣,要求輸入電話號碼驗證身份,但測試顯示其實輸入任何號碼(如 123456)均可通過驗證。
    點擊釣魚連結後,假冒頁面無論在構圖及設計上都與官方網站非常相似。頁面更會裝模作樣,要求輸入電話號碼驗證身份,但測試顯示其實輸入任何號碼(如 123456)均可通過驗證。
     
  3. 其後,假頁面會提示有逾期的水費帳單。
    其後,假頁面會提示有逾期的水費帳單。
     
  4. 點擊「繼續處理」後,受害人更能查看帳單詳情。
    點擊「繼續處理」後,受害人更能查看帳單詳情。
     
  5. 利用細額款項來減低受害人戒心,點擊「立即繳費」後,假頁面就會要求受害人輸入信用卡資料。
    利用細額款項來減低受害人戒心,點擊「立即繳費」後,假頁面就會要求受害人輸入信用卡資料。
     
  6. 點擊提交後,假頁面會停留在假的載入畫面不停轉動,而另一邊廂,受害人的信用卡資料已被傳送至騙徒手上。
    點擊提交後,假頁面會停留在假的載入畫面不停轉動,而另一邊廂,受害人的信用卡資料已被傳送至騙徒手上。
     

假冒旅遊熱點售票網站
除針對水務署外,騙徒亦假冒香港知名景點的官方售票網站,透過搜尋廣告、社交平台及即時通訊工具來散播聲稱有限時折扣或超低價的優惠,誘導市民購買門票並提交個人資料。 (上圖為假冒知名景點售票網站的釣魚網站)(上圖為假冒知名景點售票網站的釣魚網站)
 

HKCERT呼籲公眾提高警覺,切勿在可疑網站輸入任何資料或進行付款。如收到懷疑假冒水務署名義發出的短訊或電郵,切勿點擊連結或提供任何個人及付款資料;如需查閱賬單或繳費,應自行於瀏覽器輸入水務署官方網站或使用官方流動應用程式,並採取以下措施防範相關釣魚攻擊:

  • 避免點擊來歷不明的連結,尤其是涉及「限時折扣」、「欠款」、「停水」、「罰款」等催促字眼的訊息。
  • 應先核對網址,政府部門官方網站一般使用「.gov.hk」網域;如網址可疑,請停止操作並自行於瀏覽器輸入官方網站;而水務署官方網址為 www.wsd.gov.hk
  • 切勿在可疑網站輸入敏感資料,例如身份證號碼或信用卡資料等。
  • 如需付款或查閱賬單,應使用官方渠道,例如官方網站或官方流動應用程式,或向機構官方聯絡途徑核實。
  • 可利用「CyberDefender守網者」的「防騙視伏器」,通過檢查網址和IP地址等,來辨識詐騙及網絡陷阱。
     

如已輸入信用卡資料到釣魚網站:

  • 立即聯絡銀行或發卡機構凍結及更換信用卡,並更改相關帳戶密碼。
  • 監察交易紀錄,保留證據(截圖、電郵、交易紀錄、網址等)以便跟進。
     

HKCERT早前發表年度「香港網絡安全展望 2026」。報告指出2025年共錄得 15,877宗網安事故,而釣魚攻擊為最主要的威脅來源,佔近六成事故宗數,市民如欲了解更多有關釣魚攻擊的資訊,請瀏覽:https://www.hkcert.org/tc/publications/all-out-anti-phishing

企業或公眾如欲向 HKCERT 報告與資訊保安相關的事故,可以填寫網上表格:https://www.hkcert.org/zh/incident-reporting或致電24小時熱線電話:(852)8105 6060。如有其他疑問,歡迎發電郵至hkcert@hkcert.org 與HKCERT聯絡。

-完-

緊貼我們
訂閱生產力局電子報

透過電郵取得本局的最新資訊

請即註冊

服務

支援和資源

創科錄

關於香港生產力促進局

私隱聲明 使用本網站表示你接受有關的使用條款 職業健康及安全政策 (PDF版) 惡劣天氣下的服務安排 網站指南 聯絡我們
© 香港生產力促進局 版權所有,不得轉載
首頁 線上對話 聯絡我們 職位空缺
招標資料 訂閱