香港WhatsApp詐騙:類型及防範方法
WhatsApp在香港幾乎全面普及,使其成為詐騙最活躍的通訊平台——從家人仿冒和投資詐騙,到假冒求職機會和帳戶接管。
WhatsApp在香港幾乎全面普及,使其成為詐騙最活躍的通訊平台——從家人仿冒和投資詐騙,到假冒求職機會和帳戶接管。
估計有90%的香港智能手機用戶使用WhatsApp進行個人、家庭和工作通訊。這種驚人的普及率使其對騙徒 ↗極具價值:透過WhatsApp發送的信息帶有電郵所不具備的隱性社交信任——收件人通常假設信息來自認識的人,或至少來自合法的商業聯絡。騙徒系統性地利用這種信任,將WhatsApp作為攻擊的投遞機制,而這些攻擊若以電郵發送則說服力遠遠不足。
WhatsApp的技術特性也有利於攻擊者。與電郵不同,WhatsApp顯示發件人的顯示名稱和個人頭像,而非底層地址——兩者均可輕易偽造。知道您聯絡人姓名並從社交媒體找到其個人頭像的騙徒,可以創建一個看起來與真實聯絡人完全相同的WhatsApp帳戶,尤其是因為騙徒使用的電話號碼對受害者而言往往是陌生的。信息的簡短性也不鼓勵仔細審視,而對話形式則製造了快速回應而非深思熟慮的社交壓力。
香港的商業文化加劇了風險。WhatsApp被廣泛用於專業通訊——同事之間、商業夥伴之間、僱主與員工之間——這種使用方式在某些其他市場並不常見。這意味著涉及表面上的上司、客戶或業務夥伴緊急要求的詐騙情境非常可信,且經常得手。香港警方網絡安全及科技罪案 ↗調查科持續將WhatsApp列為香港詐騙的主要渠道,每年跨多種詐騙類型報告的案件達數以萬計。
家人仿冒詐騙——有時稱為「兒子/女兒遇難」或「爸媽,是我」詐騙——是香港報告最多的WhatsApp詐騙之一。騙徒從陌生號碼聯絡家長,聲稱其子女遺失手機、遭遇意外或被拘留,急需轉帳匯款。情緒衝擊和緊迫感旨在繞過懷疑。由於聯絡透過WhatsApp進行,顯示名稱可模仿子女的名字,欺騙 ↗往往足以令人在想到直接致電子女前便立即轉帳。
上司仿冒詐騙針對員工,通常要求緊急且保密的銀行轉帳或禮品卡購買。騙徒聲稱是行政總裁、董事總經理或高層管理人員,以新號碼聯絡目標——可解釋為外出時的臨時電話或遺失了常規手機。情境涉及時間敏感的商業付款或必須立即完成、無需遵循正常審批程序的保密交易。這類攻擊對香港商業機構中的財務、會計及行政助理職位尤為有效,單次交易可損失高達六位數。
WhatsApp上的投資詐騙通常從主動聯絡開始,在引入投資機會前逐漸發展為一段關係。最初的聯絡看似偶然——一條「發錯了號碼」的信息——但很快在數週或數月間發展成友誼或戀情。一旦建立信任,騙徒便介紹一個有保證高回報的投資機會,通常是在其控制的平台上的加密貨幣或外匯投資。受害者進行初始投資,看到明顯的盈利,投入更多資金,待嘗試提款時才發現平台是虛假的。這種方式有時被稱為「殺豬盤」,在香港所有詐騙類型中造成個人財務損失最大。
WhatsApp帳戶接管詐騙並不需要攻擊者從外部仿冒他人——相反,它讓攻擊者控制受害者認識的人的真實WhatsApp帳戶。其機制利用了WhatsApp的電話號碼核實系統。當WhatsApp安裝在新設備上時,它會透過短訊向已登記的電話號碼發送六位數核實碼。想要劫持帳戶的攻擊者聯絡受害者,聲稱需要一個意外發送給他們的核實碼,通常以技術錯誤為藉口。若受害者分享了該碼,攻擊者便立即在自己的設備上登記帳戶,將合法帳戶擁有者鎖定在外。
一旦帳戶被劫持,攻擊者便可訪問所有現有對話、聯絡人名單及帳戶持有人的可信身份。他們可以立即向所有聯絡人緊急要求金錢——因為信息確實來自被入侵的帳戶,收件人看到的是真實姓名和個人頭像。攻擊者通常持續數小時,直至原帳戶持有人意識到發生了什麼並能夠警告其聯絡人。在此期間,可能有多位聯絡人在任何警告發出前已轉帳。香港香港電腦保安事故協調中心 ↗和警方均已記錄WhatsApp帳戶接管鏈造成的重大財務損失,一個被劫持的帳戶可對多名受害者實施詐騙。
預防方法簡單明了,但需要了解應採取的行動。在WhatsApp設定中啟用兩步驗證(帳戶→兩步驗證)——這會在新設備上登記號碼時增加一個需要輸入的PIN,即使攻擊者獲取了短訊核實碼,也能阻止接管。絕不以任何理由與任何人分享WhatsApp核實碼——沒有任何合法情況需要您與第三方分享此碼。若您的帳戶被劫持,請立即重新登記,在手機上安裝WhatsApp並要求新的核實碼,這將使攻擊者的會話失效。然後警告所有聯絡人,在最近時段從您帳戶收到的信息可能是欺詐性的。
防禦WhatsApp詐騙最有效的保護措施是一個簡單的核實習慣:每當您收到意料之外的金錢、個人資料要求,或任何感覺異常的行動——無論信息表面上來自誰——在採取行動前致電發件人的已知電話號碼。這一步能打破大多數WhatsApp詐騙,因為騙徒無法以真實人物的號碼接聽電話。即使WhatsApp帳戶是真實的但已被劫持,致電原號碼也會揭示差異。這一回電規則應作為任何財務請求的標準做法,無論信息看起來多麼緊急。
特別警惕任何來自陌生號碼、自稱是您認識的人的WhatsApp聯絡。合法的家人、朋友和同事通常從其既定號碼聯絡您——聲稱是已知人士的「新號碼」信息,應立即透過撥打其實際號碼的語音電話進行核實。同樣對逐漸建立熟悉感、最終引入財務機會的陌生號碼初次聯絡保持懷疑。如果您不認識的人在WhatsApp上聯絡您,並最終將對話引向投資、加密貨幣或金融產品,這是殺豬盤及其他投資詐騙的標誌性模式。
如果您因WhatsApp詐騙而透過轉數快或銀行轉帳匯出了款項,請立即採取行動——銀行可能能夠攔截轉帳的窗口非常窄。立即致電銀行詐騙熱線,不要使用WhatsApp信息中的任何號碼,而應使用您銀行卡背面或官方銀行網站上的號碼。向香港警務處182 388報告WhatsApp詐騙,並向專門處理進行中詐騙的防詐騙協調中心18222報告。向香港電腦保安事故協調中心的hkcert.org/report舉報。保存對話截圖及收款帳戶的任何詳情,因為警方報案需要這些資料。
