香港語音網絡釣魚(Vishing):電話詐騙的運作原理
假冒警務人員、銀行防詐騙部門及政府官員——vishing電話是香港心理操控效果最強的詐騙手法之一,利用權威和恐懼實時套取金錢和個人資料。
假冒警務人員、銀行防詐騙部門及政府官員——vishing電話是香港心理操控效果最強的詐騙手法之一,利用權威和恐懼實時套取金錢和個人資料。
Vishing——語音網絡釣魚——利用電話欺騙受害者披露個人資料、轉帳匯款或採取危害其安全的行動。與電郵釣魚不同,受害者可以按自己的步調審視信息;vishing是實時進行的:受害者正與真人或自動語音通話,承受時間壓力,無法在通話期間獨立核實任何資訊。這種實時動態正是vishing獨特效力所在——當您正在回應一段由別人主導的即時對話時,理性審視難以發揮作用。
香港的vishing電話利用了特定的文化和制度因素。尊重權威深植於香港文化,自稱來自警方、廉政公署、入境事務處或政府部門的電話,即使懷疑有理,仍難以質疑其所帶來的權威感。騙徒 ↗利用這一點,將電話腳本設計得具有官方程序感——引用案件編號、參考號碼、搜查令詳情及模仿真實官方通訊的正式語言。他們往往先提供從早前數據外洩取得的受害者資料(姓名、部分香港身份證號碼、地址),在提出要求前建立表面合法性。
來電顯示欺騙令vishing更具說服力。攻擊者可令電話顯示任何號碼——包括匯豐銀行、香港警務處、入境事務處或稅務局的公開號碼。在螢幕上看到您認為是官方的號碼,會加強來電者所聲稱的身份,儘管來電顯示極易偽造,並無法核實實際來電者的身份。在香港,有記錄的vishing行動曾偽造匯豐銀行的客戶服務號碼、香港警察總部及廉政公署熱線——這些號碼對香港居民具有即時的權威認可效果。
「內地警察」vishing詐騙 ↗多年來一直是香港報告的最高損失詐騙類型之一。電話通常以自動錄音信息開始,聲稱來自內地公安機關或速遞公司,告知以受害者名義寄送的包裹被截獲並含有違禁品,或受害者身份被用於內地犯罪。電話轉接至「內地警務人員」或「檢察官」,聲稱針對受害者的逮捕令已發出。為在未被逮捕的情況下解決問題,受害者必須繳付保證金或提供銀行帳戶資料以「資金凍結核實」。這類電話在香港創下個人詐騙損失的最高紀錄,部分個案損失高達數千萬港元。
銀行仿冒vishing涉及自稱受害者銀行詐騙部門的來電者,告知其帳戶發現可疑交易。來電者要求受害者確認完整帳戶資料、網上銀行密碼,或讀出即將收到的短訊一次性密碼——而攻擊者同時正在嘗試登入受害者的真實帳戶以觸發該密碼。由表面詐騙警報帶來的緊迫感令受害者放下自然的懷疑;他們以為在保護帳戶,實際上卻是在向攻擊者提供訪問權限。合法的銀行詐騙部門絕不會在來電期間索取您的完整密碼或一次性密碼。
人工智能語音克隆為vishing增添了新維度。語音克隆工具可從數分鐘的音頻——通過社交媒體視頻、YouTube錄音或專業音頻內容即可取得許多人的聲音——創建特定人士的逼真語音複製品。在香港商業場景中,利用人工智能克隆行政總裁及高層管理人員聲音的vishing攻擊,已被用於授權欺詐性付款——這是一種透過語音而非電郵執行的商業電郵入侵形式。香港財務專業人士越來越多地報告此類攻擊,且隨著技術變得更易被技術水平較低的攻擊者使用,預計將日趨普遍。
最重要的識別原則是:香港的合法機構不會在來電中要求即時財務行動或披露個人資料。香港警務處、廉政公署、入境事務處、稅務局及所有主要銀行,絕不會在意料之外的來電中要求即場付款、即時匯款,或要求您提供一次性密碼、完整密碼或完整香港身份證資料。如果一通來電在這些行動中製造緊迫感,這種緊迫感本身就是警示——它是騙徒刻意製造的,目的是阻止您暫停核實。對任何此類來電的正確回應是掛斷電話,然後透過您自行查找的官方聯絡資料獨立核實。
特定語言模式表明vishing的存在。例如「不要掛斷,否則將被視為不合作」、「此事正在調查中,不要告知家人」、「此帳戶正在調查中,不要聯絡您的銀行」及「如您現在配合,可在不被捕的情況下解決」等短語,是旨在孤立受害者並阻止核實的腳本操控技巧。這些孤立技巧是內地警察和廉政公署仿冒詐騙的標誌,聽到任何此類短語應能確認電話是欺詐性的。真實的執法機關 ↗有透明的程序;它們不會透過要求即時電話付款來進行調查。
當您接到自稱是官方號碼的可疑電話時,不要依賴顯示的來電號碼作為核實。掛斷電話,然後撥打機構官方網站上列出的號碼——銀行的官方客戶服務號碼、香港警務處的公開熱線或相關政府部門的官方聯絡方式。回電時,請注意騙徒有時會嘗試讓受害者「等候」同時保持通話以阻止其撥打獨立電話——確保完全結束通話後,再在另一條線路或設備上回撥。
If you received a vishing call but did not provide information or transfer money, report the call regardless. Reporting attempted vishing to HKPF at 182 388 and to HKCERT at hkcert.org helps intelligence agencies track active vishing campaigns and may lead to intervention before other victims are defrauded. Note the number that appeared on your screen (even knowing it is spoofed), the time and duration of the call, the language used, and any case numbers or names mentioned by the caller — this detail helps investigators identify the scam campaign and its origin.
If you disclosed personal information during a vishing call, assess what was provided and act accordingly. If you gave your bank account number or partial HKID, monitor your accounts closely for unauthorised transactions or credit applications. If you provided online banking credentials or read out an OTP, contact your bank's fraud line immediately using the number on the back of your card — your account may already be compromised. If you gave your full HKID and date of birth, report to the PCPD (Office of the Privacy Commissioner for Personal Data) and consider placing a protective alert with the credit reference agencies (TransUnion HK) to flag any fraudulent credit applications made in your name.
If you transferred money as a result of a vishing call, act immediately. Call your bank's fraud line and the ADCC at 18222 — the Anti-Deception Coordination Centre operates a financial interception service and works directly with banks to attempt to halt fraudulent transfers before they are complete. File a formal report with HKPF as soon as possible, as this is required for any subsequent civil recovery action and enables police to investigate the recipient account. Understand that while fund recovery after transfer is not always possible, early reporting significantly improves the chances and also helps police disrupt the fraud operation before more victims are targeted.
