新春嚴防釣魚攻擊騙案 HKCERT列出8大陷阱 收電子利是也可能中招

情人節及農曆新年臨近，許多市民會使用流動支付及電子錢包進行購物轉賬、搶購節日優惠，或派發電子利是以歡慶佳節；然而，近期出現多種針對此類平台的網絡釣魚攻擊，手法包括假冒客服、訂閱陷阱及訛稱帳戶已被凍結等。香港網絡安全事故協調中心（HKCERT）提醒，市民慎防針對購物平台及流動支付平台（如HKTVmall、轉數快 、PayMe及AlipayHK等）各類網絡釣魚攻擊，以免在節日期間遭受財產損失。

HKCERT表示，近期發現的釣魚攻擊手法主要是利用市民輕信心理與恐慌心態，騙徒透過偽冒客服的方式發送内含惡意連結的短訊，誘導受害人交出帳戶控制權或進行虛假交易的確認。

8大常見釣魚攻擊手法

「假冒購物平台職員」陷阱：騙徒假冒購物平台（如HKTVmall）職員致電用戶，聲稱用戶在登記時曾自動購買了一份家居保險，且已經到期，並要求用戶透過WhatsApp聯絡虛假保險公司的客服來「終止收費」；其後再誘騙用戶進入釣魚網站，以騙取其個人資料。

騙徒訛稱用戶HKTVMall家居保險已過期。

「帳戶驗證」陷阱：騙徒假冒支付平台職員（如轉數快、PayMe及AlipayHK等），透過電話、WhatsApp或短訊聯絡受害人，聲稱其需進行身份驗證，進而誘騙受害人提供一次性驗證碼（OTP）、交易密碼或個人資料等訊息。

「自動付款」陷阱：騙徒訛稱用戶服務計劃的試用期已過，後續可能產生自動付款，並收取高額月費或年費；同時騙徒會聲稱用戶需要在限時內聯絡其所提供的假熱線號碼或WhatsApp號碼，以終止服務計劃，並要求用戶即時提供個人資料或完成按連結操作。騙徒有時還能提供用戶全名及部分身份證資料，以降低用戶戒備心，並利用緊迫感迫使受害人在倉促下提供敏感資料或進行轉賬。

騙徒訛稱用戶其服務計劃的試用期已過，並會自動付款收取高額的月費或年費。

「帳戶凍結」陷阱：騙徒會發電郵或短訊，訛稱用戶的支付帳戶被凍結或賬戶喜得現金禮券或其他獎品，以誘導用戶點擊附有假冒網站的惡意連結，一旦受害人被誘導進入假冒網站後，其所輸入的個人資料便會被騙徒截取，其帳戶進而被不法分子登入及盜用。

騙徒發送釣魚短訊訛稱用戶的支付帳戶因安全原因被暫時關閉，需要經連結內的網站恢復正常使用。

「購物平台退款」陷阱：騙徒偽造網上購物的轉帳截圖騙取貨品，或假稱重複收款要求「即時退款」至陌生戶口。

「電子利是」陷阱：隨着「電子利是」的使用日漸普及，騙徒利用新年派發利是的習俗，假冒用戶的朋友親人向其拜年祝賀，並發送附有虛假訊息的提示短訊，誘導接收者點擊連結或掃描二維碼，套取其個人敏感資料。

「WhatsApp貼圖」陷阱：騙徒在佳節期間發送看似正常的賀年貼圖或祝福圖片，並隨附一條聲稱可「領取獎勵」或「查看專屬賀卡」的連結，用戶點擊後，網頁會誘導下載惡意程式檔案（如 APK），一旦安裝，騙徒便可遠端攔截 SMS 短訊以獲取銀行一次性密碼（OTP），進而非法轉走用戶的銀行存款。

「廉價網購」陷阱：騙徒在社交平台開設虛假商店，以售賣廉價食品或旅遊服務為名，透過指示市民安裝非官方App、APK安裝程式或以遠端協助名義要求用家共享螢幕，進而竊取用戶的一次性密碼及敏感資料。

HKCERT提供12項防騙網安建議

因此，為保障市民在情人節與新年期間安全使用流動支付及電子錢包，HKCERT提供了多項防騙網安建議，當中包括：

1. 切勿向任何人（包括自稱銀行/平台職員）透露驗證碼與密碼，包括一次性驗證碼（OTP）、交易密碼、信用卡資料等個人資料。

2. 切勿撥打短訊內提供的號碼，獨立核實來電/短訊，自行到官網或官方應用程式內查找客戶服務或支援熱線，並再致電查詢。即使對方說出自己的部分姓名或部分個人資料，也不可因此放鬆警惕，切勿點擊來歷不明的電郵、訊息或社交媒體內的連結。

3. 使用流動支付和電子支付前，核對商戶名稱（如轉數快FPS顯示全名），設置交易限額（尤其信用卡綁定電子錢包時）。以QR code進行流動支付前，需小心核實應用程式提供的交易資料。完成支付交易後，要立即核實銀行或流動支付服務供應商所發出的交易記錄。

4. 只從官方途徑下載手機應用程式，小心選擇給予應用程式的存取權限，如被要求短信讀取、收集通訊錄、相機、位置時，應份外留神。

5. 定期為作業系統、瀏覽器及應用程式安裝最新安全更新及修補程式，以降低因點擊釣魚連結或瀏覽惡意網站而遭受漏洞攻擊的風險。

6. 使用安全可靠的Wi-Fi網絡，避免連接較低保安設定的公眾 Wi-Fi 處理銀行或交易服務。

7. 啟用瀏覽器的防釣魚功能以助阻擋釣魚攻擊。

8. 在輸入個人或付款資料前，務必核實網站真偽，留意網址是否異常、拼寫錯誤或設計可疑。

9. 切勿透過即時通訊應用程式或外部網站處理任何聲稱與帳戶設定、取消服務計劃或退款有關的要求，相關操作應僅於官方平台內進行。

10. 使用「守網者」（CyberDefender）檢查可疑電郵地址、網址及IP地址，識別網絡騙局及陷阱，或致電香港警務處反詐騙協調中心「防騙易18222」尋求協助。

11. 定期檢查網上帳戶及付款紀錄，開啟交易提示，及早發現未經授權的交易。

12. 若懷疑成為釣魚或詐騙受害者，應立即更改密碼，通知銀行或服務供應商，並向HKCERT報告尋求獲助。