香港短信釣魚(Smishing):真實案例
偽造八達通退款通知、銀行安全警告及政府罰款通知短信,是針對香港居民最普遍的詐騙之一。學會識別並抵禦這些攻擊。
偽造八達通退款通知、銀行安全警告及政府罰款通知短信,是針對香港居民最普遍的詐騙之一。學會識別並抵禦這些攻擊。
短信釣魚(Smishing)利用短訊欺騙收件人點擊惡意連結或致電詐騙號碼。它在香港尤為有效,原因有幾:城市的高智能手機普及率意味著幾乎所有人都會收到並響應短訊通知;銀行、八達通及政府通訊等關鍵服務確實合法使用短訊,令詐騙訊息顯得可信;而許多用戶對短訊的信任程度高於電郵,較少像審視電郵那樣仔細審查短訊。
短信釣魚訊息通常針對財務、送遞或官方事務製造緊迫感。香港常見主題包括:需要立即確認的可疑銀行交易;八達通卡餘額退款或可疑使用記錄;包裹無法送達需要重新安排;需要即時繳清的政府罰款或欠稅;即將過期的積分;以及需要身份驗證的賬戶暫停。每個主題均利用香港常見服務,製造不假思索點擊的理由。
技術機制與電郵釣魚類似:短訊中的連結指向偽造網站,模仿合法服務,竊取憑證或付款資料。部分短信釣魚連結在點擊時即在設備上安裝惡意軟件,甚至無需進一步用戶互動——這種技術在針對Android設備的活動中盛行,可下載惡意APK文件。iOS設備因App Store限制而受到較多保護,但釣魚網站憑證竊取同等影響兩個平台。
了解香港短信釣魚活動使用的具體訊息模式,可大幅提升識別能力。八達通卡短信釣魚通常聲稱有退款可領取——「您的八達通卡港幣XXX退款已就緒——請在[詐騙連結]核實您的卡」——或檢測到可疑使用。連結指向模仿八達通網站的頁面,要求輸入卡號、香港身份證號碼及密碼——真實八達通服務絕不會透過短訊連結索取這些資料。
銀行短信釣魚訊息冒充滙豐銀行、恒生銀行、中國銀行、渣打銀行及花旗銀行。常見場景包括:需要確認的異常交易、需要身份驗證的賬戶安全鎖定,以及需要關聯卡片詳情的信用額度提升。這些訊息通常包含部分賬戶號碼以顯得可信——往往只是可適用於數百萬個賬戶的四位數字。連結指向外觀與真實銀行網站一模一樣的克隆網站,竊取完整憑證。
包裹送遞短信釣魚冒充順豐快遞、DHL、FedEx及香港郵政。訊息聲稱因未繳關稅或地址錯誤而無法送遞包裹,引導收件人前往偽造網站索取付款卡詳情。政府短信釣魚冒充稅務局、入境事務處及香港警察 ↗,以威脅性語言提及欠繳稅款、逮捕令或需要立即處理的入境違規。
識別短信釣魚最可靠的方法是在點擊連結前檢查網址。在手機上長按連結以預覽實際網址,而無需跳轉。將此網址與聲稱發送方的官方域名比較——八達通官方網站為octopuscards.com,而非octopus-hk.com或octopuscard.com.verification-portal.net。任何與機構知名官方域名不符的網址均應視為可疑。
考慮通訊渠道是否合理。銀行和政府部門確實發送短訊通知,但它們不會發送短訊連結要求輸入憑證、付款卡詳情或身份證號碼。八達通不會透過短訊連結退款——退款通過八達通應用程式或服務點處理。若短訊要求您做一些通常不會透過該渠道進行的事情,這種不匹配本身就是值得在採取行動前調查的警示信號。
與您的賬戶活動交叉核對。若短信釣魚訊息聲稱您的銀行賬戶有可疑交易,直接登入您銀行的官方應用程式(從主屏幕打開,而非透過任何短訊連結)並查看是否真的存在此類交易。大多數短信釣魚訊息引用適用於數百萬人的通用場景——當您查看實際賬戶時,並無對應交易,從而確認訊息為詐騙。
If you tapped a smishing link but did not enter any information on the landing page, close the browser immediately and run a security scan on your device. On Android, run Google Play Protect and check for any recently installed apps you do not recognise. On iPhone, the risk from simply visiting a phishing site without entering information is lower due to iOS sandboxing, but still close the browser and clear your browsing history. Change credentials for the service the message claimed to be from as a precaution.
If you entered credentials or payment information on a smishing site, act immediately. Call your bank on the number on the back of your card and report that you may have been phished — ask them to monitor for fraudulent transactions and consider temporarily locking your card and online banking access. Change the password for the affected service through the official app or website immediately. If you entered your HKID number, be alert for identity fraud attempts — this information can be used for fraudulent credit applications and other financial crimes.
Report the smishing message and link to help protect others. Forward the original SMS to your mobile carrier's spam reporting service. Report to HKCERT ↗ at hkcert.org/report. If it impersonated a bank, report to that bank's fraud team directly. If it impersonated a government agency, report to the relevant agency and to the HKPF Cyber Security and Technology Crime Bureau at 182 388. Quick reporting helps get smishing infrastructure taken down faster, protecting other potential victims in Hong Kong.
