<汇港通讯> 香港网络安全事故协调中心(HKCERT)发警告,指近期市面涌现大量钓鱼网站,假冒市民常用的网购平台及公共服务机构,包括 Carousell、电子交通告票平台、水务署、中电、「积金易」平台及反诈骗协调中心(ADCC),冀骗取个人资料、信用卡及银行账户资料。
HKCERT指出,骗徒建立高度仿真的假冒网站,模仿官方标志、页面设计及付款流程,并以「逾期未缴」、「欠款」、「即时罚款」、「停水」、「停电」、「退款」或「协助追回骗款」等字眼制造紧迫感,令受害人在未核实网址前便点击连结、输入资料或付款 。
HKCERT发现,有钓鱼网站冒用 Carousell 名义,显示「交易确认」及「选择您的银行」等讯息,营造买家已付款假象,诱导卖家点击银行名称後,转至伪冒网上银行登入页面,骗取帐户资料 。
Carousell 亦提醒,骗徒会假扮买家,发送虚假付款确认连结或二维码,诱使用户离开平台并输入银行或信用卡资料,强调官方绝不会要求用户点击外部连结提供资料 。
HKCERT接获个案,指骗徒以「eTT HK」名义发出短讯,声称市民需点击连结缴交罚款或查阅详情,并将用户导向假冒「电子交通告票平台」,诱骗在「核实/缴付告票」页面输入信用卡及个人资料 。
警方日前强调,真正的电子交通告票短讯只会由「#HKPF-eTT」发出,无论透过短讯或电邮发出之告票,均不会附有任何超连结 。
有钓鱼网站使用与中电官方极相似的网域名称,显示「电费账单通知书」,声称账单逾期,并以「重要提示」、「逾期未缴可能导致额外费用或暂停供电」等字眼施压,继而要求输入信用卡号码、持卡人姓名及到期日等资料 。
中电提醒,其官方网站只会使用指定域名(如 www.clp.com.hk、e.clp.com.hk、clp.to 等),官方短讯以「#CLP」发出,官方电邮域名则为 @clp.com.hk 等,并绝不会要求客户提供密码、信用卡资料或 CVV 。
水务署方面,亦有假冒其登入及缴费页面的钓鱼网站出现。水务署强调,不会透过电邮或短讯内超连结引导客户至其他网站,不会以短讯催交水费,亦不会要求提供信用卡资料;有关电子账单的官方电邮由 customer_services@wsd.gov.hk 等发出,官方短讯以「#」开头 。
HKCERT接获报告,指有骗徒假冒「积金易」平台,以处理强积金行政费「退款」为名,诱骗市民填写银行卡或账户资料 。
「积金易」平台提醒,市民应只透过官方网站(www.empf.org.hk)或官方流动应用程式使用服务,切勿点击电邮或短讯内的连结;官方电邮域名包括 @mpfa.org.hk、@empf.org.hk 等,官方短讯发送人名称则包括 #MPFA、#eMPF 等,且不会在短讯内附上超连结 。
此外,骗徒亦假冒反诈骗协调中心(ADCC),声称可协助追回骗款、提供免费核查或法务谘询,并编造成功个案及「高机率追回资金」等说法,实际上是针对曾受骗人士的「二次诈骗」 。
HKCERT 综合个案并提出五句口号:「不点击、不输入、不转账、先核实、再行动」。提醒骗徒利用市民对网上交易平台、公共服务及反诈骗机构的信任,将日常的交易、缴费、罚款、收款及求助情境包装成钓鱼陷阱;由於注册网域及建立假网站成本低,骗徒可不断更换域名,利用公共服务名义进行钓鱼攻击的趋势将持续增加 。
HKCERT呼吁公众采取以下防范措施:
1.避免点击短讯或电邮内的连结,切勿在可疑网站输入个人资料或付款资料;
2.如收到声称来自公共服务的欠款、电费、水费等通知,应自行输入官方网址、使用官方应用程式或透过官方渠道核实;
3.仔细核对完整网址,留意是否使用与官方相似但拼写异常的网域;政府部门网站一般使用 .gov.hk 网域;
4.认清已登记短讯发送人名称,官方短讯通常以「#」开头;
5.警惕「协助追回骗款」说法,任何声称可快速、高机率追回骗款都应高度怀疑,可致电反诈骗协调中心 24 小时热线 18222 查询;
6. 如怀疑曾向可疑网站提供资料,应立即联络相关机构及银行,更改密码、冻结或更换信用卡,并检查装置是否被安装可疑软件 。
7. 市民如欲向 HKCERT 报告资讯保安事故,可填写网上表格或致电24小时热线81056060或电邮至 hkcert@hkcert.org。
#香港网络安全事故协调中心 #HKCERT #诈骗 (SY)
新闻来源 (不包括新闻图片): 汇港资讯