「加一元換耳機」釣魚網騙70萬
首季逾千四宗 假冒易通行等呃個人資料
全球每日有多達350億個釣魚訊息充斥網絡世界。香港警方在今年首季錄得1,408宗釣魚短訊詐騙案,佔同期香港整體科技罪案兩成,損失金額2,610萬元。有受害人在今年情人節收到假冒電訊商的釣魚短訊,聲稱會員積分將到期須盡快換禮品,她不虞有詐進入假網站後,發現用積分加一元便可換取藍牙耳機,並輸入個人及信用卡等資料。翌日收到銀行短訊通知其信用卡被人進行兩項共2.4萬元交易,始知受騙及報警。另一名會計師同樣中招,損失70萬元。此外,有大學生玩虛擬貨幣被「釣走」250萬元。
受害人陳女士(化名)表示,雖然自己擁有電訊商會籍多年,但一直未曾登入網站了解積分事宜,也沒有印象曾收過相關會籍短訊,當日因看到積分加一元便可換取藍牙耳機「覺得好抵」,未有細想就衝動輸入信用卡和住址等個人資料,「現在回想其實見到有咁便宜都應該覺得可疑,不應該相信,更不應該輕易輸入個人資料去換取禮品。」她說,事發至今仍一直感到好驚,即使銀行寄過一張新卡也不敢再使用,甚至每當收到陌生短訊也不敢打開查看。另有一名65歲男會計師今年1月也有同樣遭遇,他點擊連結進入假網站輸入信用卡資料換領耳機,數日後收到銀行通知其信用卡被使用至超過交易上限,損失70萬元。
此外,一名有投資「USDC」加密貨幣的本地大學生,早前在社交平台Twitter看到一個帖文指有平台送出「USDC」。他信以為真,點擊連結進入一個假網站及下載相關程式,雖然過程中未曾輸入任何用戶名稱或密碼,但已被人透過智能合約將他價值250萬港元的「USDC」轉走。
網站若註冊時間短有可疑
網絡安全及科技罪案調查科網絡安全組總督察葉卓譽表示,釣魚騙徒主要利用一般人喜歡優惠、怕麻煩或恐懼心理犯案。他提醒市民,雖然釣魚訊息可以假冒,但訊息內的連結必定與機構官方網站的串法不一樣,當市民點擊進入網站,如果發現不能轉換語言或部分連結的按鈕失效,甚至輸入不正確信用卡號碼也能「過版」,就有可能是假網站。此外,假網站的存活周期一般只得數日至數星期,市民如透過「WHOIS Search」搜尋網站名稱時發現其註冊時間短暫,也可以看出一些端倪。
網絡安全及科技罪案調查科署理高級警司陳純青表示,以全球70億人口計算,每人平均每日收到5個釣魚訊息,其中大部分已被電訊商及相關部門過濾,只有小量漏網之魚順利送達至市民。他指騙徒為引誘市民「中招」,釣魚訊息內容會隨着時下不同機構推出的服務而改變,如去年初主要冒充郵遞服務、電子商貿平台及電子支付錢包等,但至去年底已轉為冒充電訊商、連鎖零售集團的積分獎賞計劃、金融服務平台,以至最近的「易通行」隧道收費計劃及外地串流影音平台等,因此市民往往會降低警惕性。
陳純青解釋,上述釣魚短訊的內容包括聲稱收件人賬戶異常、未能成功付款、積分到期要換取禮物等,誘使收件人點擊短訊內近似官方連結以進入假網站留下個人資料,包括登入賬戶及密碼、信用卡資料或一次性驗證碼。騙徒會利用這些資料,在海外網站購買機票、點數卡、虛擬資產或在本地購買電子產品等,有個案顯示騙徒會透過釣魚短訊得到的個人資料,與受害人接觸,進行援交、刷單員求職、網戀投資騙案及盜取虛擬資產等。
