香港特別行政區政府 ─ 香港警務處

釣魚短訊全面睇 常見騙案一文識破

釣魚短訊詐騙防範示意圖
發布時間:

趨勢

隨著智能手機和電子支付的普及,釣魚短訊詐騙(Smishing,SMS Phishing)已成為一種常見的網絡詐騙手法。騙徒透過偽裝成銀行、電訊公司、政府機構或知名企業發送欺詐短訊,誘導受害者點擊惡意連結或提供個人資料,最終導致損失金錢甚至個人資料被盜用,令騙徒對受害者的親友再有機可乘。

《警聲百二秒II》截圖。
《警聲百二秒II》截圖。

釣魚短訊詐騙的運作方式

釣魚短訊詐騙的基本模式是透過發送欺詐性短訊來欺騙受害者,常見的運作方式包括:

  1. 發送誘導短訊

    騙徒會使用仿冒的發件人名稱,使短訊看起來像是來自銀行、電商平台或政府機構。

    短訊通常會包含緊急通知(如「您的銀行帳戶異常,請立即驗證」)或優惠訊息(如「恭喜您獲得現金回贈,請點擊領取」)。

  2. 誘導點擊惡意連結

    短訊內附的連結通常指向偽造的官方網站,該網站設計與真實網站極為相似,目的是欺騙受害者輸入帳戶資訊、密碼、信用卡資料等敏感訊息。

  3. 下載惡意應用程式(木馬程式)

    部分詐騙短訊會誘導受害者下載看似官方的應用程式,但實際上是木馬病毒,能夠竊取手機內的個人資訊、銀行帳戶及密碼。

  4. 竊取資訊後進一步詐騙

    一旦受害者輸入個人資料,騙徒可能會進一步提取銀行存款、冒充受害者聯繫家人或朋友進行二次詐騙。

常見的釣魚短訊詐騙手法

  1. 偽裝銀行或支付平台

    騙徒通常偽裝成銀行、信用卡公司或電子支付平台(如PayPal、Alipay、WeChat Pay),發送警告短訊,例如:

    「您的銀行帳戶發生異常交易,請立即登入確認:[假冒連結]」

    「您的信用卡已被扣款$5,000,如非本人操作,請點擊以下連結報告異常:[假冒連結]」

    這些短訊會誘導受害者點擊假網站,輸入帳戶資訊,導致銀行存款被盜取。

  2. 偽裝物流或快遞公司

    騙徒會冒充順豐、DHL、FedEx等物流公司,發送假冒短訊,如:

    「您的包裹因地址不完整無法派送,請點擊以下連結更新資訊:[假冒連結]」

    「您的快遞需支付額外運費$20,請點擊連結支付:[假冒連結]」

    當受害者輸入信用卡資料或個人信息後,騙徒便可盜取金錢或身份信息。

  3. 偽裝政府或公共機構

    騙徒可能冒充政府機構(如香港稅務局、衞生署、警方)發送短訊,例如:

    「您有未繳清的稅款,請立即登入系統處理,以免罰款:[假冒連結]」

    「您接觸過新冠確診者,請下載APP進行健康申報:[惡意下載連結]」

    這類短訊通常夾帶惡意軟件,可能竊取手機內的個人數據或監控受害者行為。

  4. 偽裝網購平台或抽獎活動

    騙徒會利用假優惠或虛假中獎信息來吸引受害者,例如:

    「恭喜您獲得$500購物優惠券,請點擊領取:[假冒連結]」

    「感謝您的購買,請點擊連結確認訂單狀態:[假冒連結]」

    當受害者輸入帳戶資料或支付資訊時,便會遭受金錢損失。

如何防範釣魚短訊詐騙?

為了降低被詐騙的風險,應採取以下措施:

  1. 提高警覺,避免點擊陌生連結

    不要輕易點擊來自不明來源的短訊連結,即使短訊看起來像是來自官方機構。

    若收到銀行、政府、快遞公司等的短訊,應直接到官網或致電官方客服查詢。

  2. 核對發件人資訊

    官方機構通常不會使用個人電話號碼或非官方電郵來發送重要通知。

    若發件人是陌生號碼或顯示不完整的短碼,應提高警惕。

  3. 啟用雙重驗證(2FA)

    確保銀行或支付帳戶已啟用雙重驗證,即使帳號密碼被盜,仍可減少風險。

  4. 避免下載來歷不明的應用程式

    只從官方應用商店(App Store / Google Play)下載應用程式,避免安裝來自短訊或未知網站的App。

  5. 定期更新手機和安全軟件

    確保手機作業系統、瀏覽器及安全軟件保持最新版本,減少病毒或惡意軟件的風險。

  6. 若懷疑被騙,應立即採取行動

    若發現自己誤入釣魚網站並提供了個人資料,應立即更改密碼,並聯繫相關機構報告可疑活動。

    若涉及銀行帳戶或信用卡,應立即聯繫銀行凍結帳戶,避免進一步損失。

重溫:《警聲百二秒》第23集 - 小心上釣

《警聲百二秒II》截圖。
《警聲百二秒II》截圖。
內容簡介

在無綫電視與香港警務處公共關係部聯合製作的節目《警聲百二秒》第23集中,藝人朱智賢(Ashley)以情景模擬了釣魚短訊騙案。劇情描述Ashley某天收到了3個不同的短訊,聲稱「你的ZVV積分即將到期,請儘快換領獎賞,逾期作廢。(假冒連結)」、「真誠快遞:你錯過了包裹的送遞,要立即安排送貨,請訪問(假冒連結)支付HK20郵費」及「開心銀行:你的帳戶顯示異常,請立即綁定用戶資料,否則帳戶將凍結使用。(假冒連結)」。

Ashley收到以上的短訊後,不疑有騙即時輸入自己的個人資料和銀行帳戶資料,結果正掉入了騙徒的「釣魚陷阱」。警方提醒,短訊裡面的網址全部都是通向假網站,騙徒會假扮成各種公司和機構發出短訊,而短訊裡面有一個假網站的連結,要注意假網站的設計和網址都會跟真網站幾乎一樣。目的就是為了讓受害人上當,輸入登入密碼、信用卡等敏感資料,後果非常嚴重。

以上個案為例,一個是騙取受害人的積分、一個是騙取受害人網上銀行密碼,還有一個是騙取受害人的信用卡資料,導致不同程度的個人損失。警方指騙徒有方法假扮成任何發訊人和機構的名字,如果市民一不小心分辨就容易掉入陷阱。如收到可疑的短訊,可以使用防騙視伏應用程式和網站,檢查短訊裡面的假連結有沒有陷阱,不過即使顯示沒有陷阱,也不代表百分之百安全,仍需保持警覺,細心觀察和留意網址是否真的正確,提防騙徒。若不慎受騙,應立即採取補救措施,並向相關機構舉報,以防更多人受害。唯有提高警覺,我們才能有效對抗釣魚短訊詐騙,保障個人安全。

常見問題 FAQ

Q: 如何識別釣魚短訊?

A: 可通過以下特徵辨識:

  • 發件人號碼為陌生或非官方短碼
  • 包含緊急性或誘導性措辭(如「立即操作」)
  • 連結網址與官方域名不符
  • 要求提供敏感個人資料
Q: 誤點釣魚連結後該怎麼辦?

A: 應立即:

  • 關閉網頁並中斷網路連線
  • 更改相關帳戶密碼
  • 聯繫銀行凍結可疑交易
  • 安裝防毒軟件掃描設備
Q: 警方如何處理釣魚詐騙舉報?

A: 可透過以下方式舉報:

  • 致電警務處反詐騙協調中心(24小時熱線:18222)
  • 使用「防騙視伏器」網站核實可疑連結
  • 保留短訊及相關證據供警方調查
Q: 雙重驗證(2FA)如何防範詐騙?

A: 即使騙徒取得帳號密碼,仍需第二重驗證(如手機驗證碼)才能登入,大幅提高帳戶安全性。