隨著復活節長假期臨近,香港網絡安全事故協調中心(HKCERT)提醒公眾在復活節期間網購時,應提高警惕,注意網絡釣魚及假冒網站的風險,以保障個人訊息及免招財務損失。
監測發現:近期有黑客製假網站冒充Carousell等二手交易平台
根據HKCERT監測發現,近期有黑客製作假冒網站,冒充Carousell等二手交易平台,誘導用戶完成購物。用戶在付款界面選擇「銀行轉帳」時,會跳轉至偽造的銀行付款頁面。
頁面高度模仿本地銀行官方界面該頁面高度模仿本地銀行官方界面,要求用戶輸入銀行帳號、登錄密碼甚至短訊驗證碼。由於整個流程皆嵌入在交易平台內,消費者容易誤判為正式的支付程序,從而洩露敏感財務訊息。
假冒網站冒充合法Carousell二手交易平台欺騙使用者
騙徒製作假冒網站時利用了真實銀行的商標和名稱,偽冒合法Carousell二手交易平台的付款步驟頁面會根據受害人所選擇的銀行切換至一個仿冒該銀行設計的頁面。例如當受害者選擇某某銀行轉帳時,網頁會自動加載與該銀行官網相同的配色、商標與表單欄位以混淆視聽。曾有案例顯示,受害者在仿冒頁面輸入網上銀行密碼後,詐騙集團立即利用竊取的資料進行多筆跨境高額消費。
騙徒製作假冒網站時利用真實銀行的商標和名稱
圖片:HKCERT
監測發現黑客製假網站冒充Carousell!HKCERT教8招防範復活節網購釣魚陷阱
虛假連結通過短訊的短網址偽裝成WhatsApp保安驗證
另外,騙徒會結合「假冒官方通知」及「多重網址重定向」技術,大幅提高了詐騙訊息迷惑性。騙徒透過短訊發送偽裝WhatsApp訊息,要求驗證帳戶。這些短訊會利用短網址掩蓋真實域名,用戶在短訊中僅能看見類似「t.ly/wsapps-hk」等的偽裝連結,無法從連結的英文串法上直接辨識跳轉後的目標網址。一旦點擊後,顯示的頁面完全模仿WhatsApp帳戶驗證流程,要求輸入帳戶訊息。
HKCERT建議公眾採取以下措施:
- 不要輕信任何未經確認的付款要求、電郵或短訊。如有疑問,應直接通過官方渠道核實;
- 任何情況下切勿向他人透露自己短訊驗證碼、信用卡安全碼(如CVV2、CVC碼)、信用卡短訊驗證碼(如3D Secure驗證碼)、支付平台及網上銀行密碼等;
- 收到「帳號異常」通知,應直接開啟官方應用程式查詢狀態,不要點擊訊息中的連結;致電客服時,應只使用官方網頁或應用程式內提供的電話號碼,不要撥打發訊息者提供的所謂「專線」;
- 使用高強度密碼並啟用多重身份驗證(MFA);
- 定期檢查支付平台的交易記錄,確保沒有異常活動;
- 確保所有軟件和應用程式都更新至最新版本,以防止已知的安全漏洞;
- 可利用「CyberDefender守網者」的「防騙視伏器」,通過檢查電郵地址、網址和IP地址等,來辨識詐騙及網絡陷阱,或者致電香港警務處反詐騙協調中心「防騙易18222」熱線向警方求助;
- 提高自身網絡安全意識,了解更多新的詐騙手法和防範措施。
