香港成熟的數碼銀行基礎設施,使其成為活躍於亞洲、以金錢為目標的網絡罪犯攻擊對象。本港高度的互聯網普及率、財富高度集中,以及手機銀行的廣泛應用,使得一次成功的攻擊便可為詐騙者帶來豐厚回報。了解威脅格局,是保護帳戶的首要步驟。
網絡釣魚(phishing)依然是針對香港銀行客戶的主要威脅手段,犯罪分子製作幾乎完美的匯豐銀行、恒生銀行、中國銀行香港及渣打銀行等入口網站的複製品。每逢報稅季節、公眾假期以及銀行發出真實通訊後,攻擊活動便會加劇,利用客戶已準備好與金融機構互動的時機行騙。語音釣魚(Vishing)亦日趨精密,詐騙者偽冒銀行官方號碼直接致電客戶。
除網絡釣魚外,香港銀行客戶還面臨透過惡意應用程式或釣魚連結安裝的憑證竊取malware威脅、繞過短訊驗證的SIM卡調換攻擊,以及即時攔截交易的瀏覽器中間人攻擊。AI生成深度偽造音訊和視頻的興起,亦令更具說服力的社交工程攻擊成為可能,詐騙者能以令人信服的可信度冒充銀行代表。
香港擁有全球最具活力的數碼支付生態系統之一,居民在日常交易中慣用八達通、FPS、PayMe、Alipay HK、WeChat Pay、信用卡及感應式付款。如此多元化雖帶來方便,但也增添了多個詐騙風險面。每種支付方式均有其特定漏洞,需要針對性的安全措施。
轉數快(FPS)可利用電話號碼或電郵地址即時轉帳——極為方便,但詐騙者亦會利用它製造緊迫感,迫使受害人進行無法撤回的快速轉帳。與信用卡付款不同,FPS轉帳一般屬最終交易。在按下確認前核實收款人身份,不僅是禮貌,更是必要之舉,尤其是向新收款人轉入較大金額時。
EMV晶片技術顯著提升了信用卡及扣帳卡的安全性,但網上交易的無卡詐騙(CNP fraud)依然普遍。網上購物時,透過虛擬卡號、已設上限的預付卡,或對真實卡號進行代幣化的支付服務來限制風險暴露,可大幅降低卡資料被盜影響主帳戶的風險。
香港的金融詐騙涵蓋廣泛——從同時針對數千名客戶的自動化釣魚套件,到歷時數月、精心培養深厚個人關係後才索款的複雜投資詐騙。香港警務處網絡安全及科技罪案調查科(CSTCB)持續報告,以總損失計算,金融詐騙是代價最高的網絡罪案類別,每年造成數十億港元損失。
投資詐騙——尤其是俗稱「殺豬盤」的變種——已變得非常普遍。詐騙者在數週或數月內建立戀愛或友誼關係,然後引介一個他們所控制的虛假交易平台上「千載難逢」的投資機會。率先投資的受害人往往看到假餘額不斷上升,被鼓勵繼續追加投資,直到嘗試提款時才發現資金無法提取。屆時,詐騙者早已攜款潛逃,損失金額動輒達數十萬港元。
冒充政府機構的詐騙亦十分猖獗。詐騙者冒充警察、入境處人員、稅務局職員或法庭代表,聲稱受害人正因嚴重罪行被調查,需緊急將資金轉入「安全帳戶」以待事件解決。香港的合法政府機構絕對不會在調查過程中要求即時轉帳——任何提出此要求的人均是在進行詐騙。
香港已將自身定位為亞洲領先的受監管加密貨幣中心,證券及期貨事務監察委員會(SFC)自2023年起向虛擬資產交易平台(VATP)發出牌照。這一監管框架為投資者提供一定保護,但區塊鏈交易不可更改、化名制的特性,意味著被盜的加密貨幣幾乎無法追回。投資前,安全必須是首要考量。
熱錢包(連接互聯網)與冷錢包(離線硬件設備)之間的選擇,代表著便利與安全之間的根本取捨。交易所帳戶和手機錢包屬於熱錢包——適合活躍交易,但面臨交易所被黑客入侵、帳戶被盜及個人設備失竊的風險。對於非主動交易的資產,轉移至Ledger或Trezor等硬件錢包,可大幅降低遭受網絡威脅的風險。
去中心化金融(DeFi)協議帶來了加密貨幣生態系統獨有的額外風險。智能合約漏洞、項目創辦人抽走流動性的「跑路」行為,以及被利用的跨鏈橋協議,已在全球造成數億美元損失。參與DeFi的香港投資者應將投入限制於來自成熟供應商的已審計協議,了解自己對鏈上交易承擔全部個人責任,且絕不投入超出承受能力的資金。
