手機 Phishing:如何識別和避免手機上的攻擊
Smishing、電話 phishing、WhatsApp 詐騙和假冒網站——識別和防禦針對香港智能手機用戶的 phishing 攻擊的完整指南。
Smishing、電話 phishing、WhatsApp 詐騙和假冒網站——識別和防禦針對香港智能手機用戶的 phishing 攻擊的完整指南。
Smishing(SMS phishing)是香港最普遍的手機 phishing 形式,已造成香港居民數十億港元的損失。攻擊者發送大量 SMS 訊息,冒充受信任的機構——匯豐、恒生銀行、香港郵政、DHL、入境事務處,甚至 香港警察 ↗ ——製造虛假緊迫感,迫使收件人點擊惡意連結。這些連結指向設計用於竊取登入憑證、信用卡號碼或一次性密碼的合法網站的令人信服的仿冒版本。
現代 smishing 攻擊使用 SMS 欺騙技術,將訊息顯示在與被假冒機構的真實訊息相同的對話串中。這意味著假冒的匯豐訊息可能直接出現在包含你真實匯豐交易通知的對話串中——使視覺驗證極不可靠。金管局已就這種稱為「SMS 插入」的特定技術發出多次警告,詐騙訊息被注入到合法發件人的對話串中。
典型香港 smishing 攻擊的解剖:訊息製造緊迫感(「你的帳戶將在24小時內被暫停」),提供縮短或外形相似的 URL,目標網站收集你的用戶名、密碼,以及通常要求你輸入「用於驗證」的一次性 SMS 驗證碼——攻擊者同時將其轉發給真實的銀行網站以完成詐騙交易。這個過程被稱為實時 phishing 代理,高度自動化,從受害者收到 SMS 到資金被轉移,整個過程可能只需短短三分鐘。
隨著人們對主動發送的 SMS 訊息越來越警惕,攻擊者已將業務轉移到通訊應用程式,用戶在那裡可能因處於「已知」環境而保持錯誤的安全感。香港的 WhatsApp 和 Telegram phishing 攻擊採取多種形式:假冒客戶服務冒充、群組聊天滲透、被入侵帳戶的利用,以及在提出財務請求前歷時數天或數週展開的精心社會工程學場景。
最具財務破壞性的形式是殺豬盤,通常以 WhatsApp 訊息開始,聲稱發錯了聯絡人。在數天或數週的友好對話之後——有時發展成表面上的浪漫情感——攻擊者介紹一個「有利可圖」的投資機會,通常是假冒的加密貨幣平台。受害者投入越來越大的金額,看到表面上的利潤,然後發現無法提取資金。香港警察報告稱,殺豬盤現已成為香港財務損失最大的單一詐騙類型,個人損失經常超過港幣100萬元。
WhatsApp 帳戶劫持是另一個重要的攻擊途徑。攻擊者首先取得你的電話號碼,然後致電你,聲稱需要以某個合法目的發送驗證碼。你收到並分享的驗證碼實際上是讓攻擊者在其裝置上登記你的 WhatsApp 帳戶的 WhatsApp 2FA 驗證碼。然後他們使用你的帳戶——帶有你真實的通訊錄和訊息記錄——冒充你欺騙你的朋友和家人。
假冒的 phishing 網站在手機裝置上比在桌上電腦上更難識別。手機瀏覽器的地址欄更小,通常隱藏完整的 URL;HTTPS 掛鎖圖標已無處不在(包括在 phishing 網站上,這些網站常規性地取得 SSL 憑證);手機瀏覽器的 UI 通常遮住了完整的域名。攻擊者特別設計移動端優化的 phishing 網站,知道大多數受害者將在手機上查看它們。
phishing 網站最可靠的指標是域名本身——而非掛鎖、頁面的外觀,也不是徽標和品牌的存在。攻擊者使用幾種技術創建令人信服的假冒域名:錯字搶注(hsbc-onlinebanking.com)、子域欺騙(hsbc.com.hk.login.fake.com——其中「fake.com」是實際域名)、IDN 同形字攻擊(使用其他 Unicode 字符集中的視覺上相同字符),以及使用 Google Sites、Notion 和 Netlify 等合法服務在受信任域名下託管 phishing 頁面。
在手機上驗證網站的域名:在 Safari 或 Chrome 中點選地址欄以展開完整的 URL,仔細閱讀實際域名。真實域名始終是第一個單一斜線前的最後兩個部分——例如,在「login.hsbc.com.hk/account」中,域名是「hsbc.com.hk」。如果你不確定某個 URL 是否合法,請關閉頁面,直接輸入已知的官方網站地址自行導航。
如果你懷疑自己已被 phishing——你點擊了連結、在可疑網站上輸入了憑證,或向未知來電者提供了驗證碼——請立即採取行動。時間是關鍵變量:大多數財務詐騙在憑證被竊取後數分鐘內發生,因為攻擊者擁有立即嘗試使用被盜憑證轉移資金的自動化系統。早期行動可以是防止損失與試圖挽回損失之間的分別。
你的第一個電話應該是打給你的銀行。大多數香港銀行設有24小時詐騙熱線(匯豐:2233 3000;恒生:2822 0228;中銀香港:3988 2388)。告訴他們你已被 phishing,要求他們立即凍結帳戶的對外轉帳。如果你已看到未授權的交易,要求立即凍結帳戶。通話中,從另一部未被入侵的裝置更改你的網絡銀行密碼——不要使用你被 phishing 時使用的同一部手機或電腦,因為它可能已被入侵。
保護好帳戶後,提交警方報告。香港警察 ↗ 網絡安全及科技罪案調查科的聯絡電話為 18222,或可在 cybercrime.police.hk 網上舉報。銀行在處理詐騙索賠時通常需要警方報告號碼。保留所有證據——phishing 訊息、你訪問的 URL、詐騙交易的任何收據或確認訊息的截圖——這些在調查和保險索賠中都會用到。
