2026 年主要手機安全風險:香港用戶面對的威脅

從針對八達通用戶的 smishing 活動到複雜的 spyware 及香港機場的 juice jacking——香港智能手機用戶面對的手機威脅全景圖。

Protect yourself with our security checklist → Guide to Mobile Security
Top mobile security risks in Hong Kong 2026
1Phishing 和 Smishing

Smishing 和手機 Phishing:香港最常見的威脅

短訊 phishing——即 smishing——一直是香港最常見的手機網絡威脅。香港警方 ↗網絡安全及科技罪案組(CSTCB)每年記錄數以萬計的 smishing 投訴,總財務損失達數十億港元。攻擊者發送大量短訊,冒充受信任的機構:HSBC、恒生銀行、香港郵政、入境事務處、稅務局和八達通卡系統。

這些訊息通常製造緊迫感——「你的帳戶已被暫停」、「有包裹等待繳付海關費」、「你的報稅表需要立即核實」——並將受害者引導至收集憑證、信用卡號碼或一次性密碼的令人信服的偽造網站。現代 smishing 活動通過短訊欺騙使用看似合法的發件人 ID,使其在不仔細審查所連結的網址時與真實訊息難以區分。

在 2026 年,人工智能生成的 smishing 訊息日益令人擔憂。大型語言模型允許攻擊者大規模生成語法完美、語境恰當的英文和繁體中文 phishing 訊息,消除了以往作為可靠警示的拼寫和語法錯誤。使用人工智能語音克隆冒充銀行職員和政府官員的語音 phishing(vishing)電話在香港也越來越多被報告。

  • 切勿點擊短訊連結:直接輸入網址或使用已保存的書籤前往官方網站——切勿跟隨短訊連結。
  • 核實發件人身份:在採取行動前,致電所稱機構的官方號碼確認任何緊急訊息。
  • 仔細檢查網址:Phishing 網址通常使用細微拼寫錯誤(hkpost-delivery.com 而非 hongkongpost.com)或額外的子域名。
  • 人工智能生成訊息:假設任何訊息都可能是人工智能生成的——語法完美不再是合法性的標誌。
  • 舉報 smishing:將可疑短訊轉發給你的電訊商,並向香港警方 18222 舉報。
  • 使用垃圾訊息過濾應用程式:iOS 和 Android 均支持通話和短訊過濾——啟用電訊商提供的垃圾訊息保護和第三方過濾器。
學會識別和避免手機 phishing 攻擊 →
Smishing phishing attacks in Hong Kong
2Malware 和 Spyware

手機 Malware 和 Spyware:你設備上的無聲威脅

手機 malware 已遠遠超越粗糙的病毒。現代手機威脅包括:在合法銀行應用程式上方覆蓋偽造登入介面以竊取憑證的銀行木馬、靜默錄製通話和訊息的 spyware、加密設備存儲並勒索付款的 ransomware,以及在後台消耗設備資源挖掘加密貨幣的加密貨幣挖礦程式。由於側載的可用性,Android 設備面對的 malware 量遠多於 iOS,但兩個平台都曾遭受複雜的定向攻擊。

由以色列 NSO 集團開發的 Pegasus 代表手機 spyware 光譜中最複雜的一端。它利用零點擊漏洞——完全不需要用戶互動——完全控制 iPhone 或 Android 設備:讀取訊息、錄製通話、啟動攝影機和麥克風,以及竊取位置歷史。雖然 Pegasus 主要針對記者、活動人士和知名人士,但它已被記錄在香港地區使用,展示了資源充足的對手所具備的能力。

對於普通香港用戶而言,更實際的威脅來自以「家長監控」工具出售的商業 stalkerware——這些應用程式通常被秘密安裝在伴侶或員工的手機上。這些應用程式靜默運行,隱藏其圖標,並將位置、訊息、通話記錄和瀏覽歷史報告給第三方伺服器。它們通常通過直接實體接觸設備分發,構成嚴重的私隱和安全威脅,在家庭暴力情況下尤為如此。

  • 僅從官方商店安裝:切勿在 Android 上側載應用程式;Play Store 和 App Store 會篩查 malware,非官方來源則不會。
  • 異常電池耗盡:快速電池耗盡,尤其是手機閒置時,可能表明後台進程運行 malware 或 spyware。
  • 意外的數據使用:Spyware 持續竊取數據——監控每月數據使用量,留意無法解釋的增加。
  • 設備過熱:不在主動使用時運行過熱的手機可能正在處理惡意代碼或加密貨幣挖掘。
  • 檢查已安裝的應用程式:定期查看所有已安裝的應用程式——刪除任何不熟悉或你沒有主動安裝的應用程式。
  • 出廠重置作為終極選項:如果你懷疑嚴重入侵,完全出廠重置後從已知乾淨的備份恢復是最有效的補救措施。
偵測和刪除手機上的 spyware →
Mobile malware and spyware threats
3網絡攻擊

香港的公共 WiFi 及網絡威脅

香港是全球連接最密集的城市之一,在整個港鐵網絡、政府設施、主要購物中心以及數百個商業場所均提供免費公共 WiFi。這種連接性帶來了風險。公共 WiFi 網絡是中間人攻擊的理想環境,攻擊者在同一網絡上截取你的設備與互聯網之間的流量——可能捕獲登入憑證、會話 cookie 和敏感數據。

惡意雙胞胎攻擊——攻擊者創建與合法網絡同名的 WiFi 網絡——在高流量地點特別有效。你的手機可能在沒有任何警告的情況下自動連接至惡意的「MTR_Free_WiFi」或「HK Airport WiFi」網絡。一旦連接,所有未加密的流量對攻擊者都是可見的,即使是加密的 HTTPS 流量也可能通過 SSL 剝離攻擊成為目標,前提是受害者的設備被迫降級至 HTTP。

Juice jacking 代表相關的實體網絡威脅。惡意 USB 充電站——在機場、購物中心和酒店均有報告——可以在為你的設備充電的同時嘗試通過 USB 數據通道傳輸 malware 或竊取數據。這種攻擊媒介對商務旅客在抵達香港前或離港時在國際機場連接時尤為令人擔憂。

  • 使用手機 VPN:VPN 在流量離開設備前加密所有流量,即使在受損的 WiFi 網絡上也能保護你。
  • 避免在公共 WiFi 上進行敏感操作:在沒有 VPN 保護的情況下,切勿在公共 WiFi 上登入銀行應用程式、存取工作系統或輸入付款詳情。
  • 核實 WiFi 網絡名稱:在連接前向場所工作人員確認確切的網絡名稱——避免連接到看起來與官方名稱相似但不完全相同的網絡。
  • 使用 USB 數據阻斷器:也稱為「USB 安全套」,這些廉價設備允許充電同時封鎖數據傳輸——在任何公共 USB 端口使用。
  • 攜帶便攜式充電器:對抗 juice jacking 最安全的防禦是從不需要使用公共 USB 端口。
  • 不使用時關閉 WiFi:如果你不主動使用 WiFi,禁用 WiFi 後你的手機就不會自動連接至惡意網絡。
了解公共 USB 充電端口的 juice jacking →
Public WiFi network attacks in Hong Kong
4帳戶接管

SIM 交換、憑證竊取和帳戶接管

針對手機用戶的帳戶接管攻擊變得越來越複雜。SIM 交換——攻擊者說服流動電訊商將你的電話號碼轉移至他們控制的 SIM 卡——允許他們接收你的短訊驗證碼,並有效繞過基於短訊的雙重驗證。一旦攻擊者控制你的電話號碼,他們就可以重置銀行應用程式、電郵帳戶以及任何使用短訊作為恢復方式的服務的密碼。

在香港,SIM 交換攻擊已針對三大主要電訊商(HKT、HGC 和 CMHK)的用戶。這些攻擊通常涉及對電訊商客服人員的社會工程,或使用通過數據洩露或 phishing 獲取的身份證明文件。受害者通常在其手機突然失去所有信號時發現這次攻擊——即攻擊者欺詐性轉移完成的那一刻,他們的 SIM 卡被停用。

防禦 SIM 交換的方法是盡可能從基於短訊的 2FA 遷移。Google Authenticator、Authy 或 Microsoft Authenticator 等認證應用程式在你的設備上本地生成基於時間的一次性密碼(TOTP)——它們無法通過 SIM 交換被截取。硬件安全密鑰(FIDO2)為關鍵帳戶提供最強的保護。此外,聯繫你的流動電訊商設置 SIM 鎖定或轉出 PIN,要求在任何 SIM 轉移可以處理之前進行額外驗證。

  • 用認證應用程式替換短訊 2FA:使用 Google Authenticator、Authy 或 Microsoft Authenticator 保護所有帳戶——它們無法通過 SIM 交換被繞過。
  • 設置電訊商帳戶 PIN:聯繫 HKT、HGC 或 CMHK 添加 SIM 鎖定 PIN,任何 SIM 轉移請求都必須驗證此 PIN。
  • 監控信號丟失:突然失去電訊商信號——尤其是與密碼重置通知同時出現——可能表明 SIM 交換攻擊正在進行中。
  • 使用密碼管理器:每個帳戶使用唯一的強密碼,限制任何單一憑證被入侵時的損失。
  • 啟用登入通知:配置所有重要帳戶,在從未知設備檢測到新登入時發送電郵提醒。
  • 硬件安全密鑰:對於高價值帳戶(電郵、銀行、工作系統),FIDO2 硬件密鑰如 YubiKey 提供最強可用的 2FA 保護。
在你的手機上設定強大的雙重驗證 →
SIM swapping and account takeover attacks
了解風險——現在採取行動

了解風險——現在採取行動

了解威脅只是第一步。跟隨我們的完整智能手機安全指南,堵塞本頁討論的每一個漏洞。

逐步保護你的智能手機 → 手機安全指南

Related VPN Articles

What Is a VPN?

The complete beginners guide to VPN technology.

How Does a VPN Work?

Encryption, IP masking and data tunnelling explained.

VPN Protocols Explained

OpenVPN, WireGuard, IKEv2 - which should you use?

Best VPNs for Hong Kong

Top-rated VPNs tested for HK users.

VPN for Streaming

Unblock Netflix, Disney+ and more from Hong Kong.

VPN on Public WiFi

Why public hotspots are dangerous and how VPN helps.

How to Set Up a VPN

Step-by-step for Windows, Mac, iOS, Android.

Does VPN Make You Anonymous?

What a VPN hides and what it does not.

VPN Logging Policies

No-log VPNs and what providers really store.