大埔宏福苑5級火災牽動人心,社會各界紛紛捐款以支援救災及援助工作。然而騙徒繼續利用火災名義進行詐騙,先以「GovHK」名義發送短訊,聲稱受災捐款已自動扣款,並引用「紅十字基金」及「宏福苑火災」增加可信度,並附上九位數字電話號碼,以便受害人後續聯絡客服人員查詢。香港網絡安全事故協調中心(HKCERT)密切留意有關的網絡詐騙事件,並會一如既往地在技術上全力支援執法部門的調查工作,包括協助移除有關虛假網站的超連結等;警方亦指出「防騙視伏器」已將相關電話號碼列為「高危有伏」。HKCERT再次呼籲市民接獲可疑電話或訊息時應提高警覺,切勿輕信。
香港網絡安全事故協調中心
據資料所得,如果致電短訊中的電話要求退款,騙徒會先聲稱捐款活動由「國家銀行中心」及「香港金管局」參與,以增加可信度。當受害者堅持退款時,對方會要求再致電另一個客服號碼,並提供一個網址,指示必須使用 Google 瀏覽器打開,並在該網站上辦理退款。該網站採用銀聯標誌,在「資料提交」欄位中,要求用戶輸入銀行卡號、密碼以及網上銀行帳戶密碼,藉此竊取敏感財務資訊。
過程中存在多個可疑點:
疑點1: 用字「簡繁摻雜」
短訊內容同時出現繁體與簡體中文,例如「於」字被寫成「于」,「將」字被寫成「将」,這種混用通常是詐騙訊息的信號,顯示來源並非本地官方機構。
疑點2: 與本地「短訊發送人登記制度不符」
短訊發送人登記制度已經實施,特區政府發出的短訊必以「#」字開頭,這是官方識別標誌,任何未以「#」開頭的訊息都不屬於特區政府發送,應提高警覺避免受騙。另外,香港特區政府不會發送此類短訊,亦不會要求市民提供個人或銀行資料,或進行任何轉帳捐款。
疑點3: 聲稱「曾點擊廣告連結就自動同意捐款/系統會自動扣你戶口」
慈善或特區政府渠道不可能因為你點過廣告連結就「自動識別帳戶並扣款」。
疑點4: 多次轉接到不同平台名稱
先稱自己是「紅十字會」,再轉去「促銷解綁中心」,再轉到「銀聯中小專員官方客服」——多重身份與平台名稱不一致,是「層層轉接」的騙局套路,令受害人分心並增加可信錯覺。
疑點5: 退款網站要求填「銀行卡號、網上銀行資料及密碼」
網站要求填寫銀行卡號、密碼以及網上銀行帳戶資料,屬極度敏感資訊,這是典型的詐騙特徵,切勿提供任何個人或財務資料。
香港網絡安全事故協調中心呼籲提防冒稱大埔火災之詐騙。
HKCERT防騙建議:
若已提供資料,立刻聯絡你的銀行要求監控或暫時凍結/更改銀行密碼。
核對官方渠道:
特區政府或大型機構的捐款/援助,只透過官方網站或認可收款戶口辦理。如接獲自稱機構職員來電,亦須再三核實來電者身份。
核對「#發送者ID」是否能在通訊事務管理局辦公室(OFCA)的已註冊清單/機構官網找到一致名稱。
提醒家人同事(特別是長者),近期有借「宏福苑火災」的偽冒GovHK/紅十字基金訊息,切勿掃不明QR code或輸入任何密碼。
使用反釣魚工具:可利用「CyberDefender 守網者」的「防騙視伏器」,通過檢查網址和IP地址等,來辨識詐騙及網絡陷阱。
如有懷疑,可致電「防騙易18222」熱線查詢,或致電HKCERT 24小時熱線:(852)8105 6060。 HKCERT將持續監控網絡威脅動向,並追蹤相關的詐騙活動,確保市民能夠獲得最新防騙資訊。
今年情人節適逢臨近農曆新年,市民使用流動支付及電子錢包進行購物轉賬、搶購優惠或派發電子利是的活動將更為頻繁。香港網絡安全事故協調中心(HKCERT)提醒,近期出現多種針對此類平台的網絡釣魚攻擊,手法層出不窮,主要針對香港市民常用的購物平台(如HKTVmall)及流動支付平台(如轉數快FPS、PayMe、AlipayHK等),市民應提高警惕,慎防財物損失。
近期主要釣魚攻擊手法
騙徒主要利用市民的輕信心理與恐慌心態,透過偽冒客服發送內含惡意連結的短訊,誘導受害人交出帳戶控制權或進行虛假交易確認。HKCERT列出以下常見陷阱:
騙徒訛稱用戶HKTVMall家居保險已過期
「假冒購物平台職員」陷阱:騙徒假冒購物平台(例如:HKTVmall)職員致電用戶,聲稱用戶登記時曾自動購買了一份已到期的家居保險,要求用戶透過 WhatsApp 聯絡虛假保險公司客服來「終止收費」,繼而誘騙用戶進入釣魚網站騙取個人資料。
「帳戶驗證」陷阱:騙徒假冒支付平台職員(例如:轉數快FPS、PayMe 及 AlipayHK等),透過電話、WhatsApp或短訊聯絡受害人,聲稱需進行身份驗證,誘騙受害人提供一次性驗證碼(OTP)、交易密碼或個人資料。
騙徒訛稱用戶其服務計劃的試用期已過,並會自動付款收取高額的月費或年費
騙徒訛稱用戶其服務計劃的試用期已過,並會自動付款收取高額的月費或年費
「自動付款」陷阱:騙徒訛稱用戶服務計劃的試用期已過,後續可能產生自動付款並收取高額月費或年費;同時聲稱用戶需在限時內聯絡假熱線或 WhatsApp 號碼以終止計劃,要求即時提供個人資料或點擊連結操作。騙徒有時能提供用戶全名及部分身份證資料以降低戒備,利用緊迫感迫使受害人就範。
騙徒訛稱用戶其服務計劃的試用期已過,並會自動付款收取高額的月費或年費
「帳戶凍結」陷阱:騙徒發送電郵或短訊,訛稱用戶的支付帳戶被凍結或賬戶喜得現金禮券等獎品,誘導點擊附有假冒網站的惡意連結。受害人一旦在假冒網站輸入個人資料,資料便會被截取,帳戶隨即被盜用。
「購物平台退款」陷阱:騙徒偽造網上購物的轉帳截圖騙取貨品,或假稱重複收款要求「即時退款」至陌生戶口。
「電子利是」陷阱:隨着「電子利是」普及,騙徒利用新年派利是的習俗,假冒用戶的朋友親人拜年祝賀,發送附有虛假訊息的提示短訊,誘導接收者點擊連結或掃描二維碼,套取個人敏感資料。
「WhatsApp 貼圖」陷阱:騙徒在佳節期間發送看似正常的賀年貼圖或祝福圖片,隨附一條聲稱可「領取獎勵」或「查看專屬賀卡」的連結。用戶點擊後,網頁會誘導下載惡意程式檔案(如 APK)。一旦安裝,騙徒便可遠端攔截 SMS 短訊以獲取銀行一次性密碼(OTP),非法轉走存款。
「廉價網購」陷阱:騙徒在社交平台開設虛假商店,以售賣廉價食品或旅遊服務為名,透過指示市民安裝非官方 App、APK安裝程式或以遠端協助名義要求用家共享螢幕,進而竊取用戶的一次性密碼及敏感資料。
HKCERT籲情人節及新年慎用流動支付。
HKCERT 防騙網安建議
為保障節日期間安全使用流動支付及電子錢包,HKCERT 建議市民採取以下網安措施:
-
- 切勿向任何人(包括自稱銀行/平台職員)透露驗證碼與密碼,包括一次性驗證碼(OTP)、交易密碼、信用卡資料等個人資料。
-
- 切勿撥打短訊內提供的號碼,應獨立核實來電/短訊,自行到官網或官方應用程式內查找客戶服務或支援熱線再致電查詢。即使對方說出部分個人資料,也不可放鬆警惕。
-
- 使用流動支付和電子支付前,核對商戶名稱(如轉數快FPS顯示全名),設置交易限額(尤其信用卡綁定電子錢包時)。
-
- 以 QR code 進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄。
-
- 只從官方途徑下載手機應用程式,小心選擇給予應用程式的存取權限,如被要求短信讀取、收集通訊錄、相機、位置時,應份外留神。
-
- 定期為作業系統、瀏覽器及應用程式安裝最新安全更新及修補程式。
-
- 使用安全可靠的 Wi-Fi 網絡,避免連接保安設定較低的公眾 Wi-Fi 處理銀行或交易服務。
-
- 在輸入個人或付款資料前,務必核實網站真偽,留意網址是否異常、拼寫錯誤或設計可疑。
-
- 切勿透過即時通訊應用程式或外部網站處理任何聲稱與帳戶設定、取消服務計劃或退款有關的要求,相關操作應僅於官方平台內進行。
-
- 使用「守網者」(CyberDefender)檢查可疑電郵地址、網址及IP地址,識別網絡騙局及陷阱,或致電香港警務處反詐騙協調中心「防騙易18222」尋求協助。
-
- 定期檢查網上帳戶及付款紀錄,開啟交易提示,及早發現未經授權的交易。
-
- 若懷疑成為釣魚或詐騙受害者,應立即更改密碼,通知銀行或服務供應商,並向 HKCERT 報告尋求協助。
HKCERT日前發表的年度「香港網絡安全展望 2026」報告指出,2025年共錄得 15,877宗網安事故,而釣魚攻擊為最主要的威脅來源,佔近六成事故宗數。市民如欲了解更多有關釣魚攻擊的資訊,可瀏覽 HKCERT 相關網頁。
HKCERT日前發表的年度「香港網絡安全展望 2026」報告指出,2025年共錄得 15,877宗網安事故,而釣魚攻擊為最主要的威脅來源,佔近六成事故宗數。
