香港網絡安全事故協調中心(HKCERT)發警告,指近期市面湧現大量釣魚網站,假冒市民常用的網購平台及公共服務機構,包括 Carousell、電子交通告票平台、水務署、中電、「積金易」平台及反詐騙協調中心(ADCC),冀騙取個人資料、信用卡及銀行賬戶資料。 HKCERT指出,騙徒建立高度仿真的假冒網站,模仿官方標誌、頁面設計及付款流程,並以「逾期未繳」、「欠款」、「即時罰款」、「停水」、「停電」、「退款」或「協助追回騙款」等字眼製造緊迫感,令受害人在未核實網址前便點擊連結、輸入資料或付款 。 HKCERT發現,有釣魚網站冒用 Carousell 名義,顯示「交易確認」及「選擇您的銀行」等訊息,營造買家已付款假象,誘導賣家點擊銀行名稱後,轉至偽冒網上銀行登入頁面,騙取帳戶資料 。 Carousell 亦提醒,騙徒會假扮買家,發送虛假付款確認連結或二維碼,誘使用戶離開平台並輸入銀行或信用卡資料,強調官方絕不會要求用戶點擊外部連結提供資料 。 HKCERT接獲個案,指騙徒以「eTT HK」名義發出短訊,聲稱市民需點擊連結繳交罰款或查閱詳情,並將用戶導向假冒「電子交通告票平台」,誘騙在「核實/繳付告票」頁面輸入信用卡及個人資料 。 警方日前強調,真正的電子交通告票短訊只會由「#HKPF-eTT」發出,無論透過短訊或電郵發出之告票,均不會附有任何超連結 。 有釣魚網站使用與中電官方極相似的網域名稱,顯示「電費賬單通知書」,聲稱賬單逾期,並以「重要提示」、「逾期未繳可能導致額外費用或暫停供電」等字眼施壓,繼而要求輸入信用卡號碼、持卡人姓名及到期日等資料 。 中電提醒,其官方網站只會使用指定域名(如 www.clp.com.hk、e.clp.com.hk、clp.to 等),官方短訊以「#CLP」發出,官方電郵域名則為 @clp.com.hk 等,並絕不會要求客戶提供密碼、信用卡資料或 CVV 。 水務署方面,亦有假冒其登入及繳費頁面的釣魚網站出現。水務署強調,不會透過電郵或短訊內超連結引導客戶至其他網站,不會以短訊催交水費,亦不會要求提供信用卡資料;有關電子賬單的官方電郵由 [email protected] 等發出,官方短訊以「#」開頭 。 HKCERT接獲報告,指有騙徒假冒「積金易」平台,以處理強積金行政費「退款」為名,誘騙市民填寫銀行卡或賬戶資料 。 「積金易」平台提醒,市民應只透過官方網站(www.empf.org.hk)或官方流動應用程式使用服務,切勿點擊電郵或短訊內的連結;官方電郵域名包括 @mpfa.org.hk、@empf.org.hk 等,官方短訊發送人名稱則包括 #MPFA、#eMPF 等,且不會在短訊內附上超連結 。 此外,騙徒亦假冒反詐騙協調中心(ADCC),聲稱可協助追回騙款、提供免費核查或法務諮詢,並編造成功個案及「高機率追回資金」等說法,實際上是針對曾受騙人士的「二次詐騙」 。 HKCERT 綜合個案並提出五句口號:「不點擊、不輸入、不轉賬、先核實、再行動」。提醒騙徒利用市民對網上交易平台、公共服務及反詐騙機構的信任,將日常的交易、繳費、罰款、收款及求助情境包裝成釣魚陷阱;由於註冊網域及建立假網站成本低,騙徒可不斷更換域名,利用公共服務名義進行釣魚攻擊的趨勢將持續增加 。 HKCERT呼籲公眾採取以下防範措施: 1.避免點擊短訊或電郵內的連結,切勿在可疑網站輸入個人資料或付款資料; 2.如收到聲稱來自公共服務的欠款、電費、水費等通知,應自行輸入官方網址、使用官方應用程式或透過官方渠道核實; 3.仔細核對完整網址,留意是否使用與官方相似但拼寫異常的網域;政府部門網站一般使用 .gov.hk 網域; 4.認清已登記短訊發送人名稱,官方短訊通常以「#」開頭; 5.警惕「協助追回騙款」說法,任何聲稱可快速、高機率追回騙款都應高度懷疑,可致電反詐騙協調中心 24 小時熱線 18222 查詢; 6. 如懷疑曾向可疑網站提供資料,應立即聯絡相關機構及銀行,更改密碼、凍結或更換信用卡,並檢查裝置是否被安裝可疑軟件 。 7. 市民如欲向 HKCERT 報告資訊保安事故,可填寫網上表格或致電24小時熱線81056060或電郵至 [email protected]。 #香港網絡安全事故協調中心 #HKCERT #詐騙 (SY)
<匯港通訊>