網絡安全】香港網絡安全事故協調中心(HKCERT)提醒,最近市面湧現大批釣魚網站,假冒市民日常使用的網購及公共服務平台,包括:

  • Carousell
  • 電子交通告票平台
  • 香港水務署(水務署)
  • 中電集團(中電)
  • 「積金易」平台
  • 反詐騙協調中心(ADCC)

釣魚網站騙取敏感資料

釣魚網站透過模仿官方標誌、頁面設計、付款或退款流程,誘導市民誤以為使用官方服務,從而騙取其個人資料、信用卡資料、帳戶資料及其他敏感資料。

假冒 Carousell以「交易確認或收款」

HKCERT近期發現假冒 Carousell 之釣魚網站會顯示「交易確認」及「選擇您的銀行」等內容,營造買家已付款的假象,讓賣家誤以為可按指示程序收款。當賣家點選相關銀行後,便會被引導至偽冒的網上銀行登入頁面,騙取其銀行帳戶資料。

誘騙市民登入假網上銀行頁面

Carousell官方提醒,騙徒會假扮買家,發送虛假的付款確認連結或二維碼,引導用戶進入詐騙網站,並輸入銀行或信用卡資料。市民需留意,Carousell 官方絕不會要求用戶離開平台,或點擊外部連結提供資料。

騙徒亦將釣魚手法延伸至公共服務

HKCERT亦留意到,除了網上交易平台,騙徒亦將釣魚手法延伸至與生活息息相關的公共服務場景。這類釣魚網站通常會以「逾期未繳」、「欠款」、「需即時繳付罰款」、「停水」、「停電」、「退款」等字眼製造緊迫感,甚至以「可協助追回騙款」來吸引曾受騙人士。受害人往往在未核實網址真偽前因過於焦急而點擊連結、提交資料或付款。

偽冒電子交通告票平台 誘騙市民繳交罰款

HKCERT接獲涉及假冒「電子交通告票平台」釣魚網站之個案,騙徒以「eTT HK」名義發出釣魚短訊,聲稱市民需點擊短訊內的連結,以繳交罰款或查閱詳情。該連結將引導市民進入假冒的「電子交通告票平台」,並誘騙至「核實/繳付告票」頁面,藉此騙取其信用卡帳戶和個人資料。

警方:真正電子告票短訊只會由「#HKPF-eTT」發出

警方日前已強調,真正的電子告票短訊只會由「#HKPF-eTT」發出,且無論短訊或電郵形式發出之告票,均不會附有任何超連結。

假冒「電子交通告票平台」的釣魚網站截圖

假冒中電及水務署 以欠款停水停電製造緊迫感

HKCERT近期亦接獲假冒中電之個案,騙徒使用與中電官方極為相似的網域名稱,顯示「電費賬單通知書」,聲稱電費賬單已逾期,並以「重要提示」、「逾期未繳可能導致產生額外費用或暫停供電」等字眼製造壓力。進入付款頁面後,該網站會要求用戶輸入信用卡號碼、持卡人姓名及到期日等資料。頁面更展示多個信用卡品牌標誌,以模仿正常網上付款流程,令市民信以為真。

中電的官方提示:

  • 中電官方網站只會使用指定域名,包括 www.clp.com.hk、e.clp.com.hk、clp.to 及 web.clp.com.hk;
  • 中電發出的官方短訊則會以「已登記的短訊發送人名稱」#CLP發出;
  • 中電官方電郵只會使用指定域名,包括 @clp.com.hk 、@mail.clp.com.hk 或@info.clp.com.hk。
  • 中電絕不會要求客戶提供密碼、信用卡資料或信用卡安全代碼(CVV)作核實身份或解鎖賬戶之用。

假冒中電的釣魚網站截圖1

假冒中電的釣魚網站截圖2

此外,HKCERT近期亦接獲不少假冒水務署之釣魚網站的個案,相關假網站同樣是模仿水務署的登入及繳費頁面,騙取市民的個人資料或信用卡資料。

水務署的官方提示:

  • 水務署不會透過電郵或短訊內的超連結引導客戶至其他網站,亦不會以短訊方式催交水費,或要求客戶提供信用卡資料。
  • 水務署有關電子帳單的官方電郵,均由[email protected][email protected]發出;
  • 水務署官方短訊則會以「#」號作開頭。
  • 如市民擔心繳費逾期,可透過官方網站www.wsd.gov.hk 登入電子服務帳戶,或下載及登入水務署綜合流動應用程式「水務易」,以獲取帳單資訊及進行繳費。
圖片:HKCERT

假冒香港水務署的釣魚網站截圖

假冒「積金易」平台 以「退款」為名騙取付款卡資料

騙徒除了利用「繳費」作誘餌,亦會用「可收款」或「退款」等字眼來騙取市民之敏感資料。HKCERT接獲報告,有騙徒假冒「積金易」平台,以處理強積金行政費「退款」為名,誘騙市民填寫銀行卡或帳戶資料。

「積金易」平台官方提示:

  • 市民應只透過「積金易」官方網站 https://www.empf.org.hk 或「積金易」流動應用程式登入使用「積金易」服務,切勿點擊電郵或短訊內的超連結。
  • 積金局及積金易公司官方電郵域名包括 @mpfa.org.hk、@empf.org.hk、@support.empf.org.hk 及@osc.empf.org.hk;
  • 積金局官方短訊發送人名稱則包括 #MPFA、 #eMPF及 #eMPFsecure,並且絕不會在短訊內附上超連結。

假冒 ADCC 聲稱協助追回騙款 實為二次詐騙

騙徒亦會假冒反詐騙協調中心(ADCC),聲稱可協助追回騙款、提供免費核查或專業法務諮詢,並編造成功個案及「高機率追回資金」等說法,吸引曾受騙人士主動聯絡,實際上卻是針對受害人的「二次詐騙」。

HKCERT 早前就「提防假冒反詐騙協調中心(ADCC)及多個知名品牌的釣魚網站發出釣魚警報:詳情可按此

HKCERT提醒市民:不點擊不輸入不轉帳

綜合上述個案,騙徒利用市民對網上交易平台、公共服務平台及反詐騙機構的信任,將日常的交易、繳費、罰款、收款及求助情境包裝成釣魚陷阱。由於註冊網域及建立假網站的成本低,騙徒能持續註冊不同網域並建立假冒網站,對抗釣魚網站被移除的情況。

先核實再行動

利用公共服務名義進行釣魚攻擊的趨勢將持續增加,騙徒亦會反覆利用公眾熟悉的機構名稱及服務情境來誘騙市民,公眾須高度警覺。面對任何涉及收款、繳費、欠款、罰款、退款或追回騙款的訊息,最安全做法是不點擊、不輸入、不轉帳、先核實、再行動。

HKCERT呼籲公眾採取以下防範措施:

  1. 避免點擊短訊或電郵附上之連結,切勿在可疑網站輸入個人資料、付款或其他敏感資料。
  2. 如收到聲稱來自本地公共服務的欠款、帳戶更新、積分、電費或水費等通知,應自行輸入官方網址、使用官方應用程式,或透過官方客戶服務渠道核實。
  3. 仔細核對完整網址,尤其留意是否使用與官方名稱相似但拼寫異常的網域;政府部門網站一般使用 .gov.hk 網域。
  4. 認清已登記短訊發送人名稱,官方短訊都會以「#」號作開頭。
  5. 警惕「協助追回騙款」說法,任何聲稱可快速、高機率追回騙款都應高度懷疑。如有懷疑,可致電反詐騙協調中心 24 小時「防騙易 18222」電話諮詢熱線諮詢。
  6. 如對可疑網址、短訊或網站存疑,亦可利用「CyberDefender守網者」的「防騙視伏器」,輸入相關網址或資料進行檢查。
  7. 如懷疑曾向可疑網站或騙徒提供個人資料、銀行帳戶或信用卡資料,應立即聯絡相關機構及銀行,並盡快更改密碼,以及凍結或更換信用卡;如曾授予遠端存取權限,應盡快檢查裝置是否被安裝可疑軟件。

如欲向 HKCERT 報告與資訊保安相關的事故,可以:

  • 填寫網上表格:https://www.hkcert.org/zh/incident-reporting 或
  • 致電24小時熱線電話:(852)8105 6060

免責聲明:本網頁刊載的所有投資技巧及分析,僅供參考用途。讀者作出任何投資決定前,要自行判斷及審慎處理,更要自行掌握市場最新變化。若不幸招致任何損失,概與本網頁及相關作者與受訪者無關,本網頁概不負責 。而本網頁所有專欄作者的觀點,不代表本媒體立場。