香港安全流動銀行:必備指南

如何安全使用 HSBC、恒生銀行、中國銀行、八達通及其他香港銀行應用程式——需啟用的安全功能、需注意的威脅,以及發生欺詐時的應對措施。

Spot phishing attacks targeting HK banking apps → Guide to Mobile Security
Secure mobile banking Hong Kong guide
1香港流動銀行概況

香港流動銀行安全:你需要了解的事項

香港是亞太區流動銀行採用率最高的地區之一。主要銀行——HSBC、恒生銀行、香港中國銀行、渣打銀行、星展銀行和花旗銀行——均提供功能豐富的流動銀行應用程式,涵蓋即時轉賬至投資交易等一切功能。香港金融管理局一直積極推動數字銀行創新,已向多家純數字銀行發放牌照(ZA Bank、Mox、Livi、WeLab、Airstar、Fusion、平安壹賬通及螞蟻),這些銀行完全通過流動應用程式運營。

隨著廣泛採用,欺詐風險也隨之增加。香港警方刑事部報告,與電話相關的金融欺詐——包括流動銀行欺詐、通過通訊應用程式進行的投資騙局,以及針對銀行客戶的 SMS phishing——在香港總欺詐損失中佔比不斷上升。Smishing(偽造銀行 SMS 訊息)、螢幕覆蓋攻擊(在銀行應用程式上顯示偽造登入介面的 malware)和 SIM 交換的組合,使流動銀行成為針對香港居民的財務動機網絡罪犯的主要欺詐媒介。

香港金融管理局已就流動銀行安全發出多份通告,包括強客戶認證(SCA)指引,要求銀行對高價值交易實施多重身分驗證。大多數主要香港銀行現在在其流動應用程式中支持生物特徵認證(Face ID / 指紋)、交易推送通知批准,以及作為後備的短訊或應用程式內一次性密碼。在你的銀行應用程式上啟用所有可用的安全功能是你可以採取的保護財務的最重要單一行動。

  • 啟用生物特徵認證:所有主要香港銀行應用程式均支持 Face ID 或指紋登入——在每個應用程式的安全設定中啟用,兼顧便捷與安全。
  • 設定交易限額:大多數香港銀行應用程式允許你設定每日轉賬限額——將其設定為所需最低限度,以限制任何未授權存取的損失。
  • 啟用推送通知:訂閱實時交易通知推送提醒——立即標記任何未授權交易以便迅速應對。
  • 僅在你的設備上登記:切勿在共用或不熟悉的設備上登記銀行應用程式;大多數香港銀行限制登記 1-3 台設備。
  • 驗證應用程式來源:只從 App Store 或 Google Play 下載銀行應用程式,直接前往應用程式而非跟隨連結——偽冒銀行應用程式是已知的騙局媒介。
  • 檢查應用程式版本:保持銀行應用程式更新至最新版本——銀行應用程式的安全補丁經常針對新發現的欺詐技術發布。
為所有銀行帳戶設定強大的 2FA →
Mobile banking security Hong Kong
2常見銀行欺詐手法

欺詐者如何針對香港流動銀行用戶

香港最普遍的流動銀行欺詐手法是 smishing 到憑證收割的流程。攻擊者發送自稱來自 HSBC、恒生銀行或其他香港銀行的短訊,警告可疑活動或要求帳戶驗證。訊息連結至令人信服的銀行網站複製品。受害者輸入用戶名、密碼和收到的短訊一次性密碼——攻擊者實時中繼這些信息以在真實銀行網站上驗證身份並發起欺詐轉賬。這種攻擊高度自動化,從受害者收到短訊到資金被轉移,整個過程可能只需三分鐘。

螢幕覆蓋攻擊是專門針對 Android 設備的技術上更複雜的威脅。擁有覆蓋權限的 malware(如我們應用程式權限指南中所述,允許應用程式在其他應用程式上方繪製)在真實銀行應用程式上顯示偽造登入介面。受害者以為自己在向真實銀行應用程式輸入憑證;實際上,他們是在向 malware 輸入,malware 會捕獲並傳輸這些信息。這些攻擊需要通過非官方 APK 文件分發的 Android 特定 malware,強化了絕不在 Android 上側載應用程式的重要性。

銀行冒充電話——語音 phishing 攻擊——是另一個重要媒介。來電者自稱是銀行欺詐調查員或安全團隊,聲稱受害者的帳戶已被入侵,並要求採取「緊急」行動,包括將資金轉移至「安全帳戶」(即攻擊者的帳戶)、提供一次性密碼,或使用螢幕共享或遠端桌面應用程式授予對其手機的遠端存取。任何合法銀行都不會要求這些行動。如果你接到此類電話,掛斷並撥打銀行官方公布的號碼。

  • 切勿點擊銀行短訊連結:所有主要香港銀行均公布其真實短訊連結——直接前往銀行應用程式或輸入網址。切勿跟隨主動發送的短訊連結。
  • 切勿分享一次性密碼:你的銀行發送的一次性密碼僅供你使用——任何要求你分享一次性密碼的來電者都是在進行欺詐,無論其聲稱的身份如何。
  • 安全帳戶欺詐:沒有任何銀行會要求你將資金轉移至「安全帳戶」以保護資金——這是轉賬欺詐的決定性特徵。
  • 遠端存取應用程式要求:切勿應來電者關於你銀行帳戶的要求安裝 AnyDesk、TeamViewer 或任何遠端控制應用程式。
  • 切勿側載銀行應用程式:通過 WhatsApp 或 Telegram 連結分發的偽冒銀行應用程式是欺詐的——只從 App Store 或 Google Play 安裝。
  • 覆蓋攻擊防護(Android):避免向任何應用程式授予「在其他應用程式上方顯示」權限——這是用於針對銀行應用程式的螢幕覆蓋攻擊的媒介。
識別並避免所有手機 phishing 攻擊 →
Mobile banking fraud tactics Hong Kong
3八達通及轉數快安全

八達通應用程式、轉數快及數字支付安全

八達通卡和應用程式深入融入香港日常生活——用於港鐵、巴士、便利店、泊車及不斷擴展的零售和網上支付場景。八達通應用程式允許用戶查看餘額、通過應用程式增值(連結至銀行帳戶或信用卡),並在 iPhone 上使用流動八達通(通過 NFC)。因此,八達通應用程式和流動八達通的安全性非常重要——能存取你手機的攻擊者無需任何額外認證即可進行非接觸式八達通付款。

轉數快(FPS),由香港銀行同業結算有限公司運營,支持銀行帳戶與已登記流動電話號碼或電郵地址之間的實時資金轉賬。大多數主要香港銀行將轉數快整合至其流動銀行應用程式中。轉數快轉賬即時且不可撤銷——如果你通過轉數快向欺詐帳戶轉賬,追回資金極為困難。在確認任何轉賬前,務必仔細核實收款人的轉數快 ID(電話號碼或電郵),並仔細核對銀行在確認時顯示的登記帳戶持有人姓名。

對於流動非接觸式付款——Apple Pay、Google Pay 和 Samsung Pay——安全性普遍較強。Apple Pay 和 Google Pay 使用設備帳戶號碼(與你實際卡號不同的代幣化卡號),並要求每次交易進行生物特徵認證(Face ID 或指紋)。偷竊你手機的小偷無需認證即無法使用 Apple Pay——Face ID/Touch ID 被停用或多次認證失敗後會被停用。但請確保在「設定 → Face ID 與密碼 → 鎖定時允許存取 → 錢包 → 關閉」中停用鎖屏時的錢包存取。

  • 八達通應用程式 PIN:在八達通應用程式設定中啟用 PIN 或生物特徵鎖,防止在你的手機被存取時未授權使用。
  • 轉數快轉賬驗證:在確認任何轉數快轉賬前,務必核實你的銀行顯示的收款人姓名——在繼續前報告預期與顯示姓名之間的任何差異。
  • 停用鎖屏時的錢包:設定 → Face ID 與密碼 → 鎖定時允許存取 → 錢包 → 關閉。防止從鎖定的被盜手機進行非接觸式付款。
  • 監控八達通交易:啟用八達通交易通知並定期查看你的帳單——應立即報告來自關聯銀行帳戶的未授權增值。
  • 轉數快轉賬限額:在你的銀行應用程式中設定保守的每日轉數快轉賬限額——大多數銀行允許自定義轉數快和 SWIFT 轉賬的每日限額。
  • 雙設備認證:部分香港銀行支持「令牌設備」模式,同一帳戶不能同時在超過一台已登記設備上完全啟用——查看你銀行的帳戶安全設定。
如何識別轉數快和銀行 phishing 攻擊 →
Octopus FPS payment security Hong Kong
4欺詐應對

在香港應對流動銀行欺詐

如果你發現帳戶上有未授權交易,或你認為自己已成為流動銀行 phishing 攻擊的受害者,每一分鐘都至關重要。根據香港金融管理局指引,香港銀行須維持 24 小時欺詐舉報熱線。大多數主要香港銀行在收到關於疑似欺詐的直接聯繫時,能夠立即暫停外發轉賬——盡早聯繫可能是追回資金和永久損失的關鍵。

主要香港銀行的關鍵欺詐熱線為:HSBC 2233 3000;恒生銀行 2822 0228;香港中國銀行 3988 2388;渣打銀行 2886 8868;星展銀行 2290 8888;ZA Bank/虛擬銀行通過其應用程式內支持聊天。當你發現可疑活動時,立即聯繫你的銀行——不要等到正常辦公時間。通過銀行的官方數字渠道提交投訴以補充你的電話,為你的索賠創建有記錄的書面記錄。

聯繫你的銀行後,向香港警方網絡安全及科技罪案 ↗組(CSTCB)報案。你可以在 cybercrime.police.hk 網上舉報或致電 18222。香港警方可通過銀行系統的反欺詐網絡對欺詐帳戶發出凍結令,有可能防止欺詐者提取被盜資金。取得你的報案編號——這是銀行欺詐索賠程序和任何保險索賠所需的。如果你認為你的銀行對你的欺詐報告回應不當,香港金融管理局也接受投訴,電話 2878 8196。

  • 立即致電你的銀行:HSBC:2233 3000;恒生:2822 0228;中銀香港:3988 2388;渣打:2886 8868——24 小時提供欺詐緊急服務。
  • 要求交易暫停:要求銀行立即暫停你帳戶的所有外發轉賬,並在必要時凍結帳戶。
  • 從乾淨設備更改密碼:在不同的、未受損的設備上,立即更改你的銀行應用程式 PIN 和網上銀行密碼。
  • 向香港警方舉報:cybercrime.police.hk 或 18222——在發現欺詐後 24 小時內舉報,以最大化資金追回的機會。
  • 截圖取證:在任何欺詐交易、可疑短訊或網站消失前截圖——這些是你索賠的證據。
  • 向香港金融管理局投訴:如果你的銀行欺詐回應不足,可向香港金融管理局的 2878 8196 或 hkma.gov.hk 升級投訴——監管機構認真對待欺詐投訴處理。
防止流動銀行 phishing 攻擊 →
Mobile banking fraud response Hong Kong
保護每個帳戶——不僅僅是你的銀行應用程式

保護每個帳戶——不僅僅是你的銀行應用程式

流動銀行安全在全面安全態勢的一部分下效果最佳。我們完整的智能手機安全指南涵蓋保護你金融帳戶的所有層面。

完整智能手機安全指南 → 手機安全指南

Related VPN Articles

What Is a VPN?

The complete beginners guide to VPN technology.

How Does a VPN Work?

Encryption, IP masking and data tunnelling explained.

VPN Protocols Explained

OpenVPN, WireGuard, IKEv2 - which should you use?

Best VPNs for Hong Kong

Top-rated VPNs tested for HK users.

VPN for Streaming

Unblock Netflix, Disney+ and more from Hong Kong.

VPN on Public WiFi

Why public hotspots are dangerous and how VPN helps.

Free vs Paid VPN

What you sacrifice with a free VPN.

VPN for Gaming

Reduce lag and access geo-locked games.

VPN for Remote Work

Secure your home office connections.