新春严防钓鱼攻击骗案 HKCERT列出8大陷阱 收电子利是也可能中招
发布时间:16:06 2026-02-10 HKT
情人节及农历新年临近,许多市民会使用流动支付及电子钱包进行购物转账、抢购节日优惠,或派发电子利是以欢庆佳节;然而,近期出现多种针对此类平台的网络钓鱼攻击,手法包括假冒客服、订阅陷阱及讹称帐户已被冻结等。香港网络安全事故协调中心(HKCERT)提醒,市民慎防针对购物平台及流动支付平台(如HKTVmall、转数快 、PayMe及AlipayHK等)各类网络钓鱼攻击,以免在节日期间遭受财产损失。
HKCERT表示,近期发现的钓鱼攻击手法主要是利用市民轻信心理与恐慌心态,骗徒透过伪冒客服的方式发送内含恶意连结的短讯,诱导受害人交出帐户控制权或进行虚假交易的确认。
8大常见钓鱼攻击手法
「假冒购物平台职员」陷阱:骗徒假冒购物平台(如HKTVmall)职员致电用户,声称用户在登记时曾自动购买了一份家居保险,且已经到期,并要求用户透过WhatsApp联络虚假保险公司的客服来「终止收费」;其后再诱骗用户进入钓鱼网站,以骗取其个人资料。
「帐户验证」陷阱:骗徒假冒支付平台职员(如转数快、PayMe及AlipayHK等),透过电话、WhatsApp或短讯联络受害人,声称其需进行身份验证,进而诱骗受害人提供一次性验证码(OTP)、交易密码或个人资料等讯息。
「自动付款」陷阱:骗徒讹称用户服务计划的试用期已过,后续可能产生自动付款,并收取高额月费或年费;同时骗徒会声称用户需要在限时内联络其所提供的假热线号码或WhatsApp号码,以终止服务计划,并要求用户即时提供个人资料或完成按连结操作。骗徒有时还能提供用户全名及部分身份证资料,以降低用户戒备心,并利用紧迫感迫使受害人在仓促下提供敏感资料或进行转账。
「帐户冻结」陷阱:骗徒会发电邮或短讯,讹称用户的支付帐户被冻结或账户喜得现金礼券或其他奖品,以诱导用户点击附有假冒网站的恶意连结,一旦受害人被诱导进入假冒网站后,其所输入的个人资料便会被骗徒截取,其帐户进而被不法分子登入及盗用。
「购物平台退款」陷阱:骗徒伪造网上购物的转帐截图骗取货品,或假称重复收款要求「即时退款」至陌生户口。
「电子利是」陷阱:随着「电子利是」的使用日渐普及,骗徒利用新年派发利是的习俗,假冒用户的朋友亲人向其拜年祝贺,并发送附有虚假讯息的提示短讯,诱导接收者点击连结或扫描二维码,套取其个人敏感资料。
「WhatsApp贴图」陷阱:骗徒在佳节期间发送看似正常的贺年贴图或祝福图片,并随附一条声称可「领取奖励」或「查看专属贺卡」的连结,用户点击后,网页会诱导下载恶意程式档案(如 APK),一旦安装,骗徒便可远端拦截 SMS 短讯以获取银行一次性密码(OTP),进而非法转走用户的银行存款。
「廉价网购」陷阱:骗徒在社交平台开设虚假商店,以售卖廉价食品或旅游服务为名,透过指示市民安装非官方App、APK安装程式或以远端协助名义要求用家共享萤幕,进而窃取用户的一次性密码及敏感资料。
HKCERT提供12项防骗网安建议
因此,为保障市民在情人节与新年期间安全使用流动支付及电子钱包,HKCERT提供了多项防骗网安建议,当中包括:
1. 切勿向任何人(包括自称银行/平台职员)透露验证码与密码,包括一次性验证码(OTP)、交易密码、信用卡资料等个人资料。
2. 切勿拨打短讯内提供的号码,独立核实来电/短讯,自行到官网或官方应用程式内查找客户服务或支援热线,并再致电查询。即使对方说出自己的部分姓名或部分个人资料,也不可因此放松警惕,切勿点击来历不明的电邮、讯息或社交媒体内的连结。
3. 使用流动支付和电子支付前,核对商户名称(如转数快FPS显示全名),设置交易限额(尤其信用卡绑定电子钱包时)。以QR code进行流动支付前,需小心核实应用程式提供的交易资料。完成支付交易后,要立即核实银行或流动支付服务供应商所发出的交易记录。
4. 只从官方途径下载手机应用程式,小心选择给予应用程式的存取权限,如被要求短信读取、收集通讯录、相机、位置时,应份外留神。
5. 定期为作业系统、浏览器及应用程式安装最新安全更新及修补程式,以降低因点击钓鱼连结或浏览恶意网站而遭受漏洞攻击的风险。
6. 使用安全可靠的Wi-Fi网络,避免连接较低保安设定的公众 Wi-Fi 处理银行或交易服务。
7. 启用浏览器的防钓鱼功能以助阻挡钓鱼攻击。
8. 在输入个人或付款资料前,务必核实网站真伪,留意网址是否异常、拼写错误或设计可疑。
9. 切勿透过即时通讯应用程式或外部网站处理任何声称与帐户设定、取消服务计划或退款有关的要求,相关操作应仅于官方平台内进行。
10. 使用「守网者」(CyberDefender)检查可疑电邮地址、网址及IP地址,识别网络骗局及陷阱,或致电香港警务处反诈骗协调中心「防骗易18222」寻求协助。
11. 定期检查网上帐户及付款纪录,开启交易提示,及早发现未经授权的交易。
12. 若怀疑成为钓鱼或诈骗受害者,应立即更改密码,通知银行或服务供应商,并向HKCERT报告寻求获助。
相关文章:暗网变「欺诈超级市场」 电邮及银行帐户均有售 催生更多业余骗徒
银行大推「电子利是」奖赏迎新春 中银抽奖最多赢8888元 PayMe伙新地商场送万用券
