新春嚴防釣魚攻擊騙案 HKCERT列出8大陷阱 收電子利是也可能中招
發佈時間:16:06 2026-02-10 HKT
情人節及農曆新年臨近,許多市民會使用流動支付及電子錢包進行購物轉賬、搶購節日優惠,或派發電子利是以歡慶佳節;然而,近期出現多種針對此類平台的網絡釣魚攻擊,手法包括假冒客服、訂閱陷阱及訛稱帳戶已被凍結等。香港網絡安全事故協調中心(HKCERT)提醒,市民慎防針對購物平台及流動支付平台(如HKTVmall、轉數快 、PayMe及AlipayHK等)各類網絡釣魚攻擊,以免在節日期間遭受財產損失。
HKCERT表示,近期發現的釣魚攻擊手法主要是利用市民輕信心理與恐慌心態,騙徒透過偽冒客服的方式發送内含惡意連結的短訊,誘導受害人交出帳戶控制權或進行虛假交易的確認。
8大常見釣魚攻擊手法
「假冒購物平台職員」陷阱:騙徒假冒購物平台(如HKTVmall)職員致電用戶,聲稱用戶在登記時曾自動購買了一份家居保險,且已經到期,並要求用戶透過WhatsApp聯絡虛假保險公司的客服來「終止收費」;其後再誘騙用戶進入釣魚網站,以騙取其個人資料。
「帳戶驗證」陷阱:騙徒假冒支付平台職員(如轉數快、PayMe及AlipayHK等),透過電話、WhatsApp或短訊聯絡受害人,聲稱其需進行身份驗證,進而誘騙受害人提供一次性驗證碼(OTP)、交易密碼或個人資料等訊息。
「自動付款」陷阱:騙徒訛稱用戶服務計劃的試用期已過,後續可能產生自動付款,並收取高額月費或年費;同時騙徒會聲稱用戶需要在限時內聯絡其所提供的假熱線號碼或WhatsApp號碼,以終止服務計劃,並要求用戶即時提供個人資料或完成按連結操作。騙徒有時還能提供用戶全名及部分身份證資料,以降低用戶戒備心,並利用緊迫感迫使受害人在倉促下提供敏感資料或進行轉賬。
「帳戶凍結」陷阱:騙徒會發電郵或短訊,訛稱用戶的支付帳戶被凍結或賬戶喜得現金禮券或其他獎品,以誘導用戶點擊附有假冒網站的惡意連結,一旦受害人被誘導進入假冒網站後,其所輸入的個人資料便會被騙徒截取,其帳戶進而被不法分子登入及盜用。
「購物平台退款」陷阱:騙徒偽造網上購物的轉帳截圖騙取貨品,或假稱重複收款要求「即時退款」至陌生戶口。
「電子利是」陷阱:隨着「電子利是」的使用日漸普及,騙徒利用新年派發利是的習俗,假冒用戶的朋友親人向其拜年祝賀,並發送附有虛假訊息的提示短訊,誘導接收者點擊連結或掃描二維碼,套取其個人敏感資料。
「WhatsApp貼圖」陷阱:騙徒在佳節期間發送看似正常的賀年貼圖或祝福圖片,並隨附一條聲稱可「領取獎勵」或「查看專屬賀卡」的連結,用戶點擊後,網頁會誘導下載惡意程式檔案(如 APK),一旦安裝,騙徒便可遠端攔截 SMS 短訊以獲取銀行一次性密碼(OTP),進而非法轉走用戶的銀行存款。
「廉價網購」陷阱:騙徒在社交平台開設虛假商店,以售賣廉價食品或旅遊服務為名,透過指示市民安裝非官方App、APK安裝程式或以遠端協助名義要求用家共享螢幕,進而竊取用戶的一次性密碼及敏感資料。
HKCERT提供12項防騙網安建議
因此,為保障市民在情人節與新年期間安全使用流動支付及電子錢包,HKCERT提供了多項防騙網安建議,當中包括:
1. 切勿向任何人(包括自稱銀行/平台職員)透露驗證碼與密碼,包括一次性驗證碼(OTP)、交易密碼、信用卡資料等個人資料。
2. 切勿撥打短訊內提供的號碼,獨立核實來電/短訊,自行到官網或官方應用程式內查找客戶服務或支援熱線,並再致電查詢。即使對方說出自己的部分姓名或部分個人資料,也不可因此放鬆警惕,切勿點擊來歷不明的電郵、訊息或社交媒體內的連結。
3. 使用流動支付和電子支付前,核對商戶名稱(如轉數快FPS顯示全名),設置交易限額(尤其信用卡綁定電子錢包時)。以QR code進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄。
4. 只從官方途徑下載手機應用程式,小心選擇給予應用程式的存取權限,如被要求短信讀取、收集通訊錄、相機、位置時,應份外留神。
5. 定期為作業系統、瀏覽器及應用程式安裝最新安全更新及修補程式,以降低因點擊釣魚連結或瀏覽惡意網站而遭受漏洞攻擊的風險。
6. 使用安全可靠的Wi-Fi網絡,避免連接較低保安設定的公眾 Wi-Fi 處理銀行或交易服務。
7. 啟用瀏覽器的防釣魚功能以助阻擋釣魚攻擊。
8. 在輸入個人或付款資料前,務必核實網站真偽,留意網址是否異常、拼寫錯誤或設計可疑。
9. 切勿透過即時通訊應用程式或外部網站處理任何聲稱與帳戶設定、取消服務計劃或退款有關的要求,相關操作應僅於官方平台內進行。
10. 使用「守網者」(CyberDefender)檢查可疑電郵地址、網址及IP地址,識別網絡騙局及陷阱,或致電香港警務處反詐騙協調中心「防騙易18222」尋求協助。
11. 定期檢查網上帳戶及付款紀錄,開啟交易提示,及早發現未經授權的交易。
12. 若懷疑成為釣魚或詐騙受害者,應立即更改密碼,通知銀行或服務供應商,並向HKCERT報告尋求獲助。
相關文章:暗網變「欺詐超級市場」 電郵及銀行帳戶均有售 催生更多業餘騙徒
銀行大推「電子利是」獎賞迎新春 中銀抽獎最多贏8888元 PayMe夥新地商場送萬用券
